网路安全-病毒分析 - ShareCourse.PDF

網路安全 -病毒分析 通訊所 周啓松 102064542 一、惡意程式簡介 1.1 檔案類型 ： 再加入附檔名 .exe後，顯示出封裝時的 icon ，再依照此看來 ，應該為安裝的 執行檔，大小為 337KB 。根據防毒軟體分析，此病毒的檔名為 file_download.exe 。 1.2 Checksum ： MD5 cb710ec6472cb916479eb5fa0a35e493 SHA1 95921a60e531e0180eab53409ef460db7239a5d6 1.3 安裝檔類型分析： NSIS - Nullsoft Scriptable Install System (91.9%) Win32 Executable MS Visual C++ (generic) (3.3%) Win64 Executable (generic) (3.0%) Win32 Dynamic Link Library (generic) (0.7%) Win32 Executable (generic) (0.4%) 1.4 各大廠牌的檢測結果 ： 1.5 主要發病的國家 二、系統行為分析 2.1 激活病毒 病毒激活後，會進入DirectDownloader 安裝模式，並且下載file_downloader 檔案， 而此檔案即為Trojan 類型的病毒。 病毒行為的主要流程如下： 00060cac447c8c57806e7f00085a31c7a2c3210f7b66fad2a625aa73927c7875.exe 為一開始的病毒執行檔，會先下載preinstall.exe ，並且自主執行它，然後再創建 downloaderSTUB.exe 。 2.2 建立的資料夾列表： %System Root%\DOCUME~1 %System Root%\DOCUME~1\Wilbert %User Profile%\LOCALS~1 %User Temp%\b7916f21df17dab796ef1e4110027e83 %User Temp%\nsoE.tmp %User Temp%\nsv9.tmp %User Temp%\nsk8.tmp %User Temp%\nsu7.tmp %User Temp%\nskA.tmp %User Temp%\nsaB.tmp %User Temp%\nscD.tmp 2.3 Runtime DLLs shfolder ole32.dll setupapi.dll rpcrt4.dll shell32.dll advapi32.dll psapi.dll (failed) c:\windows\system32\mswsock.dll hnetcfg.dll c:\windows\system32\wshtcpip.dll dnsapi.dll c:\windows\system32\winrnr.dll rasadhlp.dll 2.4 註冊碼修改 KEY ： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explo rer\MountPoints2\ {a20cd692-8e41-11e1-9999-806d6172696f}\\BaseClass KEY: HKEY_LOCAL_MACHINE\Software\DirectDownloader\OpenBitCoin2\offere d 2.5 生成的檔案 三、網路行為分析 病毒激活後，會先對下列DNS query .localdomain 收到DNS的回應後開始與下列 IP建立 TCP連線 9 1