恶意代码分析模板

基本信息

报告名称:                                                    
作者:                                                            
报告更新日期:                                            
样本发现日期:                                            
样本类型:                                                    
样本文件大小/被感染文件变化长度:    
样本文件MD5 校验值:                            
样本文件SHA1 校验值:                            
壳信息:                                                        
可能受到威胁的系统:                                
相关漏洞:                                                    
已知检测名称:                                            




本节的主要目的是简单介绍样本的目的,类型,一两句画龙点睛即可。

例如:
[样本名称 ]是一个针对FTP软件用户,窃取系统及个人信息的木马。


被感染系及网症状

本节的主要目的是帮助潜在读者快速识别被感染后的症状。


文件系统变

[将要/可能]被[创建/修改/删除]的[文件/目录]


注册表

[将要/可能]被[创建/修改/删除]的[注册表键/键值]


症状

被监听的端口,向指定目标及端口的网络活动及类型,等等


详细分析/功能介

首先,此详细非彼详细。一份好的报告应该能让尽可能多的读者读懂,而不仅仅局限于分析师。本节的主要目的是向潜在读者提供样本的详细功能。

例如:
当[样本名称]被运行后,会进行如下操作:

1.     检测操作系统是否运行在Vmware虚拟机中,如果发现自动终止运行

2.     将恶意代码注入如下任意进程以隐藏自身:

  • explorer.exe

  • svchost.exe

3.     将原始文件以[随机文件名]复制到[目标路径]

4.     设置如下注册表键值以在系统重新启动后自动加载
  • HKLM/Software/Microsoft/Windows/CurrentVersion/Run/”demo_value_name” = [

5.     设置如下注册表键值以降低系统安全
  • HKLM\Software\Microsoft\Security Center\”FirewallOverride” = 1

  • HKLM\Software\Microsoft\Security Center\”AntiFirewallDisableNotify” = 1

6.     创建临时批处理文件,并以之删除原始安装文件

7.     尝试连接如下域名以测试互联网连接是否有效:
  • http://www.google.com

  • http://www.yahoo.com

8.     收集系统信息(CPU,硬盘, 操作系统版本。。。等等)

9.     尝试窃取如下FTP客户端中保存的用户帐号:
  • FlashFXP

  • Total Commander

  • WS_FTP

10.   监听并纪录用户键盘活动

11.  将以上所有收集到的信息加密后发送至[目标地址]


如果有必要,并且可能的话,请注意区分各个模块的功能,这是因为如果不同模块发生了变化,读者可以更好的理解为什么某些症状出现了,某些没有,可能受到的影响又有些什么,等等。

例如:

[模块1]是下载器,被运行后会进行如下操作:
。。。

[模块2]是木马主体,被运行后会进行如下操作:
。。。


相关服器信息分析

本节可以提供一些详细的目标域名, IP  地址,邮件地址等等相关信息。这样可以方便企业/政府用户更好的了解/追踪该恶意代码的作者/运营者。


防及修复措施

当然,如果就职于某行业内公司,本节通常会提供相关产品的修复操作步骤。
不过这里我们还是为那些没有安装安软的普通用户来介绍一下,需要安装的安全补丁,如何手动恢复被感染的环境,例如如何一步步的删除/修改相关注册表键值,文件等等。


你可能感兴趣的:(模板,分析,病毒)