木马病毒的行为分析样本

合集下载

木马分析报告

木马分析报告

木马分析报告1. 引言木马(Trojan),又称为“特洛伊木马”,是指通过伪装成正常合法程序或文件进入目标系统,并在未被用户察觉的情况下,对系统进行非法操作的恶意软件。

木马程序的存在给系统安全带来了重大威胁,因此,对木马进行深入分析和研究十分必要。

本文将对一款木马进行分析,并对其传播方式、特征和危害进行探讨。

2. 木马的传播方式木马程序主要通过以下几种方式进行传播: 1. 邮件附件:木马程序常常伪装成诱人的附件,通过邮件发送给用户,一旦用户点击或下载附件,木马程序就会悄悄安装和运行。

2. 网络下载:用户在未经过恶意网站的仔细筛选的情况下,下载了含有木马的软件或文件,木马程序就会被安装到用户的系统中。

3. 可移动存储介质:如U盘、移动硬盘等存储介质中含有木马程序,只要用户将这些介质连接到自己的电脑上,木马程序就会被植入系统。

4. 动态链接库:木马程序可能会以DLL(Dynamic-Link Library)的形式出现,通过注入到正常进程中,实现对系统的控制。

3. 木马的特征为了能够更好地进行木马防护,我们需要了解木马的一些特征: 1. 欺骗性:木马程序通常伪装成合法可信的程序或文件,例如常见的.exe、.doc、.pdf等,以迷惑用户进行安装或下载。

2. 启动项修改:木马程序常常会修改系统的启动项,以保证自己能够在系统启动时自动运行,从而实现长期隐藏控制。

3. 远程控制:木马程序通常与远程服务器建立连接,以便黑客能够远程控制被感染的系统,进行各种操控、监控和窃取敏感信息等操作。

4. 系统资源占用增加:木马程序运行时会消耗大量系统资源,例如CPU和内存,从而降低系统的整体性能。

5. 网络流量增加:木马程序会通过网络上传、下载数据,导致网络流量明显增加,对网速造成影响。

4. 木马的危害与预防木马程序给系统带来的危害非常严重,包括但不限于以下几个方面: 1. 数据窃取:木马程序可以利用系统权限,窃取用户的个人隐私数据,例如登录名、密码、银行账号等。

完整版-木马分析

完整版-木马分析

完整版-木马分析一个木马的分析第一次详细分析木马,不足之处请见谅。

这个木马一共4KB,是个比较简单的程序,所以分析起来也不是很难。

下面开始正式分析。

这是程序的主题函数,一进来就是三个初始化的call,然后就是一个大的循环,程序就是在这个循环之中不停的运行着。

跟进第一个call:函数首先创建了一个hObject变量~用于存放创建的互斥对象句柄。

mov [ebp+hObject],start proc near eax就是将创建的互斥句柄传送到call sub_401481hObject中。

这里是创建了一个名为 call sub_401092 H1N1Bot的互斥对象。

然后调用 call sub_4011AEloc_4014C4: GetLastError得到错误码~这里加call sub_4013D5入程序已经有一份实例在运行了~则 call sub_40143Fpush 0EA60h ; 这个互斥对象就是创建过了的~就是dwMilliseconds 得到错误代码为0B7h的值。

通过查 call Sleep询msdn发现:0b7h含义是Cannot jmp short loc_4014C4start endp create a file when that filealready exists.所以这样就防止了木马程序同时打开了多份。

当返回值是0B7h的时候~调用ExitProcess退出程序。

总结来说这个call就是检查程序是否已经打开~要是打开过了就退出。

进入401092的call,由于这hObject = dword ptr -4个函数代码过多,就不贴详细的.text:00401481代码了。

函数定义了两个局部字.text:00401481 push ebp符串数组ExistingFileName,.text:00401482 mov ebp, espString2(这里是ida分析给出的名.text:00401484 add esp, 0FFFFFFFCh 字)和一个文件指针。

木马行为分析报告

木马行为分析报告

“木马行为分析”报告一、木马程序概述在计算机领域中,木马是一类恶意程序。

一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。

(1)硬件部分:建立木马连接所必须的硬件实体。

控制端:对服务端进行远程控制的一方。

服务端:被控制端远程控制的一方。

INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。

(2)软件部分:实现远程控制所必须的软件程序。

控制端程序:控制端用以远程控制服务端的程序。

木马程序:潜入服务端内部,获取其操作权限的程序。

木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。

(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。

控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。

1、木马的定义木马是隐藏在合法程序中的未授权程序,这个隐藏的程序完成用户不知道的功能。

当合法的程序被植入了非授权代码后就认为是木马。

木马是一个用以远程控制的c/s程序,其目的是不需要管理员的准许就可获得系统使用权。

木马种类很多,但它的基本构成却是一样的,由服务器程序和控制器程序两部分组成。

它表面上能提供一些有用的,或是仅仅令人感兴趣的功能,但在内部还有不为人所知的其他功能,如拷贝文件或窃取你的密码等。

严格意义上来说,木马不能算是一种病毒,但它又和病毒一样,具有隐蔽性、非授权性以及危害性等特点,因此也有不少人称木马为黑客病毒。

2、木马的分类木马的种类很多,主要有以下几种:其一,远程控制型,如冰河。

远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。

其二,键盘记录型。

键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录,然后通过邮件或其他方式发送给控制者。

对有关病毒木马的案例分析

对有关病毒木马的案例分析

对有关病毒木马的案例分析通过学习网络安全法律法规,我们对“大小姐木马”与“熊猫烧香病毒”做出了学习与分析。

一、“大小姐”病毒起因与发展。

2008年5月6日,南京市公安局网络警察支队接江苏省水利厅报案称,该厅政务网站“江苏水利网”页面无法打开,怀疑疑被黑客侵入。

据了解,江苏省水利厅网站主要承担公文办理、汛情下达等重要任务,日访问量在5000人次。

当时,江苏全省已进入汛期,该网站能否正常运行将直接影响全省防汛工作。

南京市公安局网络警察支队将其立为破坏计算机信息系统案侦查,并迅速会同鼓楼公安分局抽调精干警力,成立“5·6”专案组。

攻击是为植入“大小姐”木马专案组围绕省水利厅网站被黑客攻击案,迅速开展勘查取证、侦查侦控、追查抓捕等侦查工作。

去年5月14日至6月6日,专案组在湖北宜昌、广西桂林、湖北潜江等地抓获何某等6名犯罪嫌疑人,成功侦破水利厅网站被攻击案。

在侦破水利厅网站被攻击案件过程中,专案组发现,这些人攻击水利厅网站的目的,是为了在该网站上植入一款名为“大小姐”的木马盗号程序。

而这个“大小姐”木马早已臭名昭著,不少网络游戏账号均被该木马程序盗取过。

这一情况引起公安部高度重视,公安部指定南京市公安局管辖此案,并于7月1日挂牌督办本案。

专案组经艰苦工作,分别于6月13日在上海、6月24日在四川广元、绵阳、10月10日在湖南长沙抓获了制作、传播“大小姐”系列木马,破坏计算机信息系统犯罪团伙的组织者王某、作者龙某及销售总代理周某等10人。

犯罪嫌疑人王某以牟利为目的,自2006年下半年开始,雇用犯罪嫌疑人龙某先后编写了四十余款针对国内流行网络游戏的盗号木马。

王某拿到龙某编写的木马程序后,对外谎称为自己所写,同时寻找代理人进行销售,先后通过周某等人在网上总代理销售木马,该木马系列在传播销售时被命名为“大小姐”木马。

购买了“大小姐”木马的犯罪嫌疑人,则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏进行盗号。

Android木马Smspacem分析报告

Android木马Smspacem分析报告

Android木马Smspacem分析报告Android木马Smspacem分析报告安天实验室Android木马Smspacem分析报告安天实验室一、基本信息病毒名称:Trojan/Android.Smspacem病毒类型:木马样本MD5:60CE9B29A6B9C7EE22604ED5E08E8D8A样本长度: 1855,053 字节发现时间:2011.05.22感染系统:Android 2.1及以上二、概述Smspacem木马主要行为是在开机时自启动,被该恶意软件感染的设备会自动获取手机用户通讯录中的信息(联系人名称、电话号码、Email等),自动向其联系人电话发送短信,其内容为事先编辑好的,如“现在无法通话,世界末日即将来临”等;该软件还试图访问指定的主机服务,并将从被感染设备的通讯录中获得的邮箱地址发送到远程服务器上;最后还会将被感染设备的壁纸修改为事先设定好的图像。

当被该恶意软件感染的设备接收短信时,短信将被拦截,并且该恶意软件将删除短信数据库中的短信,并且向该短信的发送地址发送一条事先编辑好的信息,如“现在无法通话,世界末日即将来临”等。

这一类的木马主要由最近关于世界末日将于2011年5月21日来临的新闻所引起。

抵御木马的关键是用户要对自己的设备进行安全设置,并在安装软件后查看其权限中是否存在敏感的权限等。

图 1 Holy软件界面及特殊权限三、样本特征3.1敏感权限●允许应用程序访问设备的手机功能:有此权限的应用程序可以确定此手机的号码和序列号、是否正在通话、以及对方的号码等。

●允许应用程序发送短信:恶意应用程序可能会不经您的确认就发送信息,给您产生费用。

●允许应用程序写入手机或 SIM 卡中存储的短信:恶意应用程序可借此删除您的信息。

●允许应用程序读取您的手机或 SIM 卡中存储的短信:恶意应用程序可借此读取您的机密信息。

●允许应用程序接收和处理短信:恶意应用程序可借此监视您的信息,或者将信息删除而不向您显示。

常见的计算机病案例分析

常见的计算机病案例分析

常见的计算机病案例分析计算机病毒是指一种能够在计算机系统中快速传播、破坏系统功能并且自我复制的恶意软件,给计算机系统和用户带来不同程度的危害。

随着计算机技术的不断发展,各种类型的计算机病毒层出不穷。

本文将对常见的计算机病毒案例进行分析,以便更好地了解计算机病毒的特点和防范措施。

一、蠕虫病毒案例分析蠕虫病毒是一种能够自我复制并在计算机网络中传播的恶意软件。

2001年,“伊洛扎病毒”(ILOVEYOU)的爆发就是蠕虫病毒的典型案例。

该病毒通过电子邮件发送,并自动复制并发送给用户的联系人。

一旦用户打开这个附件,病毒就会释放并开始传播,导致大量计算机系统瘫痪。

针对蠕虫病毒的防范措施主要包括及时更新杀毒软件和系统补丁、不随意打开陌生邮件和链接、加强用户教育等。

此外,建立健全的网络安全策略和完善的防火墙也是重要的预防措施。

二、木马病毒案例分析木马病毒是一种隐藏在合法软件中的恶意代码,通过欺骗用户而进行自我复制和传播。

2005年,“黑客之门”(Blackhole)木马病毒的出现引起了广泛的关注。

该病毒通过网络攻击获取用户终端的控制权,窃取用户的隐私信息和敏感数据。

预防木马病毒的关键是提高用户的信息安全意识和加强软件来源的可信度。

用户应避免下载未知来源的软件,及时更新操作系统和应用程序,并通过安装防病毒软件和防火墙等安全工具进行保护。

三、病毒勒索案例分析病毒勒索是指黑客利用恶意软件对计算机进行攻击,并要求用户支付“赎金”以解密或恢复文件和数据的过程。

2017年,“勒索病毒WannaCry”(WannaCry)的爆发引起了全球范围内的恶性感染。

该病毒通过利用操作系统漏洞进行攻击,并迅速传播至全球数十万台计算机。

预防病毒勒索的关键是定期备份重要数据和文件,并使用强密码对其进行保护。

此外,及时安装系统补丁和防病毒软件、禁用不必要的网络服务和端口也是必要的防范措施。

四、间谍软件案例分析间谍软件是一种监视用户计算机活动并收集用户隐私信息的恶意软件。

木马病毒的行为分析

木马病毒的行为分析

学号:***********院系:诒华学院成绩:西安翻译学院XI’AN FANYI UNIVERSITY毕业论文题目:网络木马病毒的行为分析专业:计算机网络技术班级:103120601*名:******师:***2013年5月目录1 论文研究的背景及意义...................................................................................... - 3 -2 木马病毒的概况 .................................................................................................. - 4 -2.1 木马病毒的定义......................................................................................... - 4 -2.2 木马病毒的概述......................................................................................... - 4 -2.3 木马病毒的结构......................................................................................... - 4 -2.4 木马病毒的基本特征................................................................................. - 5 -2.5木马病毒的分类.......................................................................................... - 5 -2.6木马病毒的危害.......................................................................................... - 6 -3 木马程序病毒的工作机制.................................................................................. - 6 -3.1 木马程序的工作原理................................................................................. - 6 -3.2 木马程序的工作方式................................................................................. - 7 -4 木马病毒的传播技术.......................................................................................... - 7 -4.1 木马病的毒植入传播技术......................................................................... - 8 -4.2 木马病毒的加载技术................................................................................. - 9 -4.3 木马病毒的隐藏技术................................................................................ - 11 -5 木马病毒的防范技术......................................................................................... - 11 -5.1防范木马攻击............................................................................................. - 11 -5.2 木马病毒的信息获取技术...................................................................... - 12 -5.3 木马病毒的查杀...................................................................................... - 12 -5.4 反木马软件............................................................................................... - 12 -6 总结 .................................................................................................................... - 13 -网络木马病毒的行为分析彭蕊蕊西安翻译学院诒华学院计算机网络技术 103120601摘要:随着计算机网络技术的迅速发展和普及,Internet网络使得全世界的人们可以自由的交流和分享信息,极大的促进了全球一体化的发展。

安卓病毒分析报告

安卓病毒分析报告

Android木马分析报告一、样本特征:1. 基本信息该病毒伪装成正常软件,启动时开启后台监听服务,后台拦截包含指定内容的短息并修改,窃取用户隐私,同时私下发送短信,存在诱骗欺诈行为。

样本MD5:3ea3c573b257e0ede90c23ff908be1ff样本包名:com.way.xx样本证书串号:53a67b752. 特征描述该病毒伪装成正常软件,启动时开启后台监听服务,后台拦截包含指定内容的短息并修改,窃取用户隐私,同时私下发送短信,存在诱骗欺诈行为。

二、样本分析:软件安装运行:图1 图2如图1所示,安装该病毒软件后桌面上出现一个类似正常软件的图标。

运行病毒后图标消失,如图2所示。

从病毒隐藏自身的图标来看,是恶意防止用户卸载,从而达到保护自身的目的。

如图下图所示是该病毒用到的一些敏感权限。

代码分析:软件入口程序入口com.way.activity.MainActivity,进入之后onCreate方法,此处SMSListenerService短信监听服务,同时启动服务后隐藏了图标。

调用的隐藏该软件图标的方法,在该病毒运行后达到隐藏图标的目的:病毒启动短信监听服务后,会在后台监控短信的广播消息。

获取短信的来源地址和短信内容,并监控包含知道你跟内容的短信,当接收到符合条件的短信后篡改其中的短信内容通过sendThread中的run方法将获得用户隐私上传到指定的服务器:后台发送短信AlarmReceiver中短信发送线程:从指定服务器获取短信信息的方法。

将从指定服务器获取的短信发送出去:结论:此病毒运行后会隐藏自身图标,防止用户卸载。

通过开启后台服务监听户用短信,并修改短信内容,后台私自发送短信,存在欺诈嫌疑。

对有关病毒木马的案例分析

对有关病毒木马的案例分析

对有关病毒木马的案例分析通过学习网络安全法律法规,我们对“大小姐木马”与“熊猫烧香病毒”做出了学习与分析。

一、“大小姐”病毒起因与发展。

2008年5月6日,南京市公安局网络警察支队接江苏省水利厅报案称,该厅政务网站“江苏水利网”页面无法打开,怀疑疑被黑客侵入。

据了解,江苏省水利厅网站主要承担公文办理、汛情下达等重要任务,日访问量在5000人次。

当时,江苏全省已进入汛期,该网站能否正常运行将直接影响全省防汛工作。

南京市公安局网络警察支队将其立为破坏计算机信息系统案侦查,并迅速会同鼓楼公安分局抽调精干警力,成立“5·6”专案组。

攻击是为植入“大小姐”木马专案组围绕省水利厅网站被黑客攻击案,迅速开展勘查取证、侦查侦控、追查抓捕等侦查工作。

去年5月14日至6月6日,专案组在湖北宜昌、广西桂林、湖北潜江等地抓获何某等6名犯罪嫌疑人,成功侦破水利厅网站被攻击案。

在侦破水利厅网站被攻击案件过程中,专案组发现,这些人攻击水利厅网站的目的,是为了在该网站上植入一款名为“大小姐”的木马盗号程序。

而这个“大小姐”木马早已臭名昭著,不少网络游戏账号均被该木马程序盗取过。

这一情况引起公安部高度重视,公安部指定南京市公安局管辖此案,并于7月1日挂牌督办本案。

专案组经艰苦工作,分别于6月13日在上海、6月24日在四川广元、绵阳、10月10日在湖南长沙抓获了制作、传播“大小姐”系列木马,破坏计算机信息系统犯罪团伙的组织者王某、作者龙某及销售总代理周某等10人。

犯罪嫌疑人王某以牟利为目的,自2006年下半年开始,雇用犯罪嫌疑人龙某先后编写了四十余款针对国内流行网络游戏的盗号木马。

王某拿到龙某编写的木马程序后,对外谎称为自己所写,同时寻找代理人进行销售,先后通过周某等人在网上总代理销售木马,该木马系列在传播销售时被命名为“大小姐”木马。

购买了“大小姐”木马的犯罪嫌疑人,则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏进行盗号。

木马分析报告

木马分析报告

木马分析报告报告目的:本报告旨在通过对木马程序的分析和研究,为用户提供关于木马的详细信息,帮助用户更好地防范和排除木马程序的威胁。

报告结构:一、概述二、木马程序三、攻击方式四、防范措施五、排除方法六、结论一、概述随着网络技术的不断发展和进步,网络安全问题已成为人们关注的焦点。

木马程序作为一种危险的网络威胁,已经成为网络安全领域重点研究对象。

本报告旨在通过分析和研究木马程序的特点与行为,为用户提供更具体的木马防范措施,并帮助用户更好地解决木马问题。

二、木马程序1、定义木马程序是指在计算机系统中潜藏的一种恶意软件,它可以在用户不知情的情况下窃取用户的计算机信息,甚至控制计算机。

其具有隐蔽性、偷窃性、可控性、纵向渗透性等特点。

2、类型木马程序根据其功能和用途不同,可以分为远程控制木马、流氓软件、钓鱼木马、木马病毒等多种类型。

不同类型的木马程序具有不同的威胁等级和攻击方式。

三、攻击方式木马程序采取的主要攻击方式包括利用漏洞攻击、社会工程学攻击和通过外部控制平台等。

在用户不知情的情况下,木马程序可以通过这些方式远程控制电脑、窃取用户信息、散布病毒等。

四、防范措施为了有效地防范木马程序的攻击,用户需要根据实际情况采取多种防范措施,包括规范安装软件、使用安全浏览器、定期升级杀毒软件、加强密码管理、限制网络功能等。

这些措施可以大大减少木马程序的攻击风险。

五、排除方法用户如果发现自己的计算机已经中木马,应该采取及时有效的处理方式。

具体排除方法包括复原系统、安装杀毒软件、安装木马查杀工具、优化网络安全等。

六、结论通过对木马程序的分析和研究,我们可以发现,木马程序具有多种威胁手段和强大的攻击能力,对计算机和网络安全造成了一定的威胁。

为了有效地防范木马程序的攻击,用户需要根据实际情况采取多种防范措施,定期进行木马查杀和优化网络安全,避免造成不必要的损失。

木马攻击实验报告

木马攻击实验报告

木马攻击实验报告木马攻击实验报告引言:在当今数字化时代,网络安全问题变得日益严峻。

木马攻击作为一种常见的网络攻击手段,给个人和企业的信息安全带来了巨大威胁。

为了更好地了解木马攻击的原理和防范方法,我们进行了一系列的实验并撰写本报告。

一、实验背景1.1 木马攻击的定义和特点木马攻击是一种通过在目标计算机上植入恶意软件的方式,以获取目标计算机的控制权或者窃取敏感信息的行为。

与其他病毒相比,木马病毒更加隐蔽,不容易被发现和清除,给受害者带来的损失更大。

1.2 实验目的通过实验,我们旨在深入了解木马攻击的原理和过程,掌握常见木马的特征和防范方法,并提高对网络安全的意识和保护能力。

二、实验过程2.1 实验环境搭建我们搭建了一个包含受害机、攻击机和网络设备的实验环境。

受害机是一台运行Windows操作系统的计算机,攻击机则是一台具备攻击能力的计算机。

两台计算机通过路由器连接在同一个局域网中。

2.2 木马攻击实验我们选择了常见的典型木马病毒进行实验,包括黑客常用的远程控制木马、键盘记录木马和数据窃取木马。

通过在攻击机上模拟黑客行为,我们成功地将这些木马病毒传输到受害机上,并获取了受害机的控制权和敏感信息。

2.3 实验结果分析通过实验,我们发现木马病毒的传播途径多种多样,包括电子邮件附件、下载软件、网络漏洞等。

木马病毒一旦感染到目标计算机,往往会在后台默默运行,窃取用户的隐私信息或者利用受害机进行更大范围的攻击。

三、实验反思3.1 实验中的不足之处在实验过程中,我们发现自身的网络安全意识和知识储备还有待提高。

在木马攻击的防范方面,我们对于防火墙、杀毒软件等防护工具的使用和配置还不够熟练,需要进一步学习和实践。

3.2 实验的启示和收获通过本次实验,我们深刻认识到了木马攻击的危害性和普遍性。

我们意识到加强网络安全意识和技术防范的重要性,不仅要保护自己的计算机和信息安全,还要积极参与到网络安全的维护中。

四、防范木马攻击的建议4.1 加强网络安全意识提高个人和企业对网络安全的重视程度,定期进行网络安全培训,学习常见的网络攻击手段和防范方法。

计算机病毒与防护木马病毒行为分析

计算机病毒与防护木马病毒行为分析
计算机病毒与防治
Virus
教学单元3-5 木马病毒防治
第三讲 木马病毒行为分析
Trojan.PSW.QQPass.pqb病毒主要特点 Trojan.PSW.QQPass.pqb病毒行为追踪 Trojan.PSW.QQPass.pqb病毒行为分析
Trojan.PSW.QQPass.pqb病毒清除
计算机病毒与防治课程小组
计算机病毒与防治课程小组
木马病毒行为追踪
接着我们查看一下注册表的启动项,我们可以发现病毒文件 akfguw.exe已经成功的创建了自己的启动项。
计算机病毒与防治课程小组
木马病毒行为追踪
同时我们使用Filemon软件,记录下病毒对整个系统中文件的操作行为。 然后以sxs.exe和afkguw.exe作为关键字对整个记录内容进行过滤。
计算机病毒与防治课程小组
木马病毒行为追踪
病毒会在创建病毒文件时“赠送”一个Autorun.inf文件, sxs病毒中INF文件所写的内容如下: [AutoRun] open=sxs.exe shellexecute=sxs.exe shell\Auto\command=sxs.exe
病毒病毒编写者往往利用autorun.inf的自动功能,让移动设备在用户 系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此, 通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使
8.删启动项 HKLM\Software\Microsoft\Windows\Currentversion\Run Ravtask、kvmonxp、ylive.exe、yassistse、 kavpersonal50、ntdhcp、winhoxt
计算机病毒与防得双击分区盘,需要打开时用鼠标右键打开。 1 关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉。

Android木马样本分析

Android木马样本分析

一、基本信息一款内嵌木马的桌面主题。

病毒名称:TDHOME病毒类型:木马样本MD5:3059E109DC5A29AC9E5B7DE630EA7019样本长度:1820219字节感染系统:Android二、概述该程序安装完是一款桌面主题,并可设置壁纸等。

运行后获取ROOT权限,私自下载安装程序;并发送扣费短信,订制SP服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。

三、样本特征1. 敏感权限<uses-permissionandroid:name="android.permission.DELETE_PACKAGES"></uses-permission><uses-permissionandroid:name="android.permission.INSTALL_PACKAGES"></uses-permission><uses-permissionandroid:name="android.permission.READ_CONTACTS"></uses-permission>android.setting.START_SEND_SMSandroid.setting.SMS_SENTandroid.provider.Telephony.SMS_RECEIVED2. 入口点和恶意模块public class MyReceiver extends BroadcastReceiver{}(1).发送拦截短信:String str39 = "android.setting.SMS_SENT";try{String str41 = arrayOfSmsMessage[i13].getOriginatingAddress();SmsManager localSmsManager4 = localSmsManager1;ArrayList localArrayList7 = localArrayList2;localSmsManager4.sendMultipartTextMessage(str41, null, localArrayList5, localArrayList7, null);}if (!paramIntent.getAction().equals("android.provider.Telephony.SMS_RECEIVED"))if ((arrayOfSmsMessage[i13].getOriginatingAddress().contains("10658166")) || (arrayOfSmsMessage[i13].getMessageBody().contains("83589523")) || (arrayOfSmsMessage[i13].getMessageBody().contains("客服")) || (arrayOfSmsMessage[i13].getMessageBody().contains("资费")) || (arrayOfSmsMessage[i13].getMessageBody().contains("1.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("2.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/条")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/次")))abortBroadcast();(2). 获取ROOT权限,安装卸载程序:private void installApk(String paramString1, String paramString2)try{Runtime localRuntime = Runtime.getRuntime();StringBuilder localStringBuilder = new StringBuilder("sudo pm install -r ");File localFile2 = this.mContext.getFilesDir();String str = localFile2 + "/" + paramString2;Process localProcess = localRuntime.exec(str);}private void installAPK()private void uninstallPlugin(){try{int i = Log.d("agui", "uninstall");Process localProcess = Runtime.getRuntime().exec("pm uninstall -r com.newline.root"); Intent localIntent1 = new Intent("android.intent.action.RUN");Context localContext = this.mContext;Intent localIntent2 = localIntent1.setClass(localContext, MyService.class); ComponentName localComponentName = this.mContext.startService(localIntent1); return;}(3).窃取上传隐私资料:String str8 = Long.toString(System.currentTimeMillis());Object localObject1 = localHashtable.put("id", str8);Object localObject2 = localHashtable.put("imsi", str4);Object localObject3 = localHashtable.put("imei", str5);Object localObject4 = localHashtable.put("iccid", str6);Object localObject5 = localHashtable.put("mobile", str7);String str9 = TimeUtil.dateToString(new Date(), "yyyyMMddHHmmss");Object localObject6 = localHashtable.put("ctime", str9);Object localObject7 = localHashtable.put("osver", "1");Object localObject8 = localHashtable.put("cver", "010101");Object localObject9 = localHashtable.put("uid", str1);Object localObject10 = localHashtable.put("bid", str2);Object localObject11 = localHashtable.put("pid", str3);Object localObject12 = localHashtable.put("softid", paramString2);MessageService.4 local4 = new MessageService.4(this, paramIResponseListener);NetTask localNetTask = new NetTask(localHashtable, "utf-8", 0, local4);String[] arrayOfString = new String[1];arrayOfString[0] = paramString1;AsyncTask localAsyncTask = localNetTask.execute(arrayOfString);public class NetTask extends AsyncTask<String, Integer, String>protected String doInBackground(String[] paramArrayOfString)URL localURL1 = new java/net/URL;String str5 = localStringBuffer1.toString();URL localURL2 = localURL1;String str6 = str5;localURL2.<init>(str6);localHttpURLConnection = (HttpURLConnection)localURL1.openConnection();localHttpURLConnection.setRequestMethod("GET");localHttpURLConnection.setConnectTimeout(5000);localHttpURLConnection.setReadTimeout(5000);3. 敏感字符串("sudo pm install -r ");installAPK();contains("10658166")contains("83589523")contains("客服")contains("资费")四、行为分析运行后获取ROOT权限,私自下载安装程序;并发送扣费短信,订制SP服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。

网络中的木马病毒泄密事件解析

网络中的木马病毒泄密事件解析

网络中的木马病毒泄密事件解析网络间谍案调查中,有关部门从政府某部门的内部电脑网络发行了非法外联的情况,并在许多内部电脑中检测出了不少特制的木马程序,检测结果表明,所有入侵木马的连接都指向境外的特定间谍机构。

案例某政府网络包括涉密网、内部网(业务网)、外部网(公开网站等)三个部分。

其中,政务内网、外网承载着财政、审计等功能。

总的节点有数千台,院内网段有40 多个。

而涉密网中存储着政务中的各种机要文件,如全省的核心经济数据、省重要干部信息、中央下发的涉密工作文件等。

出于安全的考虑,该政务网络中的涉密网与政务内、外网进行了物理隔离。

两个网络的数据不能相互通信。

而涉密网也与因特网隔离,保证了涉密数据不外泄。

然而在日常工作中,涉密网中的的某个职员想在因特网上进行数据查询,考虑到去政务外网中查询不太方便,该职员就在涉密网终端上通过连接政务外网网线的方式,访问了因特网。

该职员在因特网上浏览网页时,访问了某个论坛,而这个论坛正好被黑客攻击了,网页上被挂了利用“网页木马生成器”打包进去的灰鸽子变种病毒。

黑客利用“自动下载程序技术”,让该职员在未察觉的情况下被种植了木马。

“灰鸽子”是反弹型木马,能绕过天网等大多数防火墙的拦截,中木马后,一旦中毒的电脑连接到Internet,远程攻击者就可以完全控制中马后的电脑,可以轻易地复制、删除、上传、下载被控电脑上的文件。

机密文件在该涉密网职员毫不知情的情况下被窃取,最终造成了重大泄密事件。

随着政府上网工程的不断开展,我国计算机及网络泄密案件也在逐年增加。

据报道,在上年的一起网络间谍案调查中,有关部门从政府某部门的内部电脑网络发行了非法外联的情况,并在许多内部电脑中检测出了不少特制的木马程序,检测结果表明,所有入侵木马的连接都指向境外的特定间谍机构。

专业部门进行检测时,测出的木马很多还正在下载、外传资料,专业人员当即采取措施,制止了进一步的危害。

非法外联的威胁现在,一些安全性较高的内部网络(如政府部门、军事部门的网络)常常与外部网络(如Internet)实施物理隔离,以确保其网络的安全性。

手机APP的样本分析与恶意行为检测

手机APP的样本分析与恶意行为检测

手机APP的样本分析与恶意行为检测随着手机的普及,手机APP已经成为了人们生活中不可或缺的一部分,越来越多的人开始使用手机APP来进行各种活动,如社交、购物、游戏等。

然而,由于APP的便捷性和易用性,在这个数字世界中,我们经常会发现各种各样的恶意行为和欺诈行为,如数据盗取、木马病毒、虚假广告、违法传销等等。

因此,如何对APP进行样本分析和恶意行为检测成为了我们需要解决的问题。

一、样本分析APP样本分析是指对APP进行评估和分析,了解其内部机制、功能和权限。

通过对APP样本的分析,可以发现隐藏在APP中的风险和漏洞,并及时采取措施进行修复和升级。

在APP样本分析中,通常会使用逆向工程技术对APP进行解密和破解,并获得其中的代码和数据。

逆向工程是一种将成品软件还原为源代码的技术,通过逆向工程可以了解软件的结构和机制,从而提高软件的安全性和稳定性。

在样本分析过程中,可以获取到如下信息:1.功能和特性:通过样本分析,可以了解APP的功能和特性,确认是否存在违反法律法规的内容,例如违反隐私、侵犯版权等等。

2.权限和数据:APP需要获得手机用户的权限才能正常运行,因此在样本分析中可以获取到APP的权限和能够访问的数据范围。

例如,通过分析APP的权限,可以发现某APP可以访问用户的通讯录、相册等隐私数据,从而发现APP的风险。

3.安全机制:在样本分析中,可以评估APP的安全机制,如是否使用了加密算法、是否存在漏洞等等,从而提高APP的安全性和防护能力。

二、恶意行为检测恶意行为检测是指通过技术手段对APP进行分析,从而识别出其中存在的恶意行为或欺诈行为。

恶意行为可能包括木马病毒、数据盗取、虚假广告、恶意代码、钓鱼网站等。

在恶意行为检测中,可以采用以下技术手段:1.行为分析:通过对APP在运行过程中的行为进行分析,识别出其中的恶意行为。

例如,某APP频繁访问通讯录、相册等隐私数据,可以被识别为恶意行为。

2.静态分析:静态分析是指对APP的代码进行分析,从而识别出其中可能存在的漏洞和恶意代码。

一个Trojan木马病毒的分析(一)

一个Trojan木马病毒的分析(一)

⼀个Trojan⽊马病毒的分析(⼀)⼀、基本信息 样本名称:Rub.EXE 样本⼤⼩:21504 字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78DD104CB0E1D184043 样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒⽂件的组成: 病毒母体⽂件Rub.EXE MD5:035C1ADA4BACE78DD104CB0E1D184043 病毒母体释放的⽂件owwesc.exe(随机字母组成的⽂件名并且是病毒母体Rub.EXE脱UPX 壳后的⽂件) MD5: CC7E53EBCE40AC0BFE07FAF3592C210A 病毒母体释放的⽂件hra33.dll MD5: 5B845C6FDB4903ED457B1447F4549CF0\ ⼆、样本脱壳 对病毒母体⽂件Rub.EXE进⾏查壳,使⽤DIE.exe查壳软件查壳的结果如下。

病毒母体⽂件被加了UPX壳,并且病毒的开发⼯具Microsoft Visual C/C++(6.0)。

UPX壳脱壳难度不⼤,根据脱壳的ESP定律,对病毒母体⽂件进⾏脱壳处理,然后开始对脱壳的病毒母体⽂件进⾏病毒的⾏为分析。

\ 三、样本病毒⾏为分析 1. 尝试打开注册表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR",判断该注册表是否存在。

\ 2. 如果注册表项"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR"存在则为主线程设置服务派遣例程。

2.1 下⾯详细的分析病毒进程设置的服务派遣例程的⾏为。

2.1.1 为主线程服务控制设置服务请求处理过程函数,服务请求处理函数根据相关的控制命令nServiceControlStatus设置服务的状态。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

西安翻译学院XI’AN FANYI UNIVERSITY
毕业论文
题目: 网络木马病毒的行为分析专业: 计算机网络技术
班级:
姓名: 彭蕊蕊
指导教师: 朱滨忠
5月
目录学号:
院系: 诒华
1 论文研究的背景及意义........................... 错误!未定义书签。

2 木马病毒的概况................................. 错误!未定义书签。

2.1 木马病毒的定义............................ 错误!未定义书签。

2.2 木马病毒的概述............................ 错误!未定义书签。

2.3 木马病毒的结构............................ 错误!未定义书签。

2.4 木马病毒的基本特征........................ 错误!未定义书签。

2.5木马病毒的分类............................. 错误!未定义书签。

2.6木马病毒的危害............................. 错误!未定义书签。

3 木马程序病毒的工作机制......................... 错误!未定义书签。

3.1 木马程序的工作原理........................ 错误!未定义书签。

3.2 木马程序的工作方式........................ 错误!未定义书签。

4 木马病毒的传播技术............................. 错误!未定义书签。

4.1 木马病的毒植入传播技术.................... 错误!未定义书签。

4.2 木马病毒的加载技术........................ 错误!未定义书签。

4.3 木马病毒的隐藏技术........................ 错误!未定义书签。

5 木马病毒的防范技术............................. 错误!未定义书签。

5.1防范木马攻击............................... 错误!未定义书签。

5.2 木马病毒的信息获取技术.................... 错误!未定义书签。

5.3 木马病毒的查杀............................ 错误!未定义书签。

5.4 反木马软件................................ 错误!未定义书签。

6 总结........................................... 错误!未定义书签。

网络木马病毒的行为分析
彭蕊蕊
西安翻译学院诒华学院计算机网络技术
摘要:随着计算机网络技术的迅速发展和普及,Internet网络使得全世界的人们能够自由的交流和分享信息,极大的促进了全球一体化的发展。

可是人们在交往的同时也面临着网络安全的隐患,每天分布在世界各地的计算机无时无刻不在遭受计算机病毒的攻击。

其中有一种与病毒相似但有所区别的、基于远程控制的、具有很强的隐蔽性和危害性的工具,这就是特洛伊木马程序。

关键词: ”木马”病毒, 恶意程序, 危害, 防范
1 论文研究的背景及意义
随着互联网技术的发展和普及, 计算机网络得到了广泛应用, 利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势, 人们日常的经济和社会生活也越来越依赖互联网。

但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁, 例如黑客攻击, 计算机病毒、特洛伊木马泛滥等。

研究在当前开放的网络环境下, 如何保证自己的信息安全就显的非常重要。

特洛伊木马( 简称木马) 是一种具有运行非预期或未授权功能的程序, 例如能够记录用户键入的密码, 远程传输文件, 甚至能够完全远程控制计算机等。

一般黑客在攻击目标得手之后, 就会在主机上安装后门, 即特洛伊木马。

特洛伊木马能够在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等, 甚至能够远程监控用户的操作, 因此, 某些行业, 如国防、外交和商务部门, 特洛伊木马的危害性更大, 一旦这些部门被安装了木马, 损失就会非常惨重。

人们常常将特洛伊木马看成是计算机病毒, 其实, 它们之间还是有比较大的区别的。

计算机病毒具有数据的破坏性, 而特洛伊木马最大的危害在于数据的泄密性, 当然不乏有将病毒技术和木马技术结合使用的恶意软件, 即利用病毒的传染性使较多的计算机系统植入木马。

但特洛伊木马本身一般没有复制能力, 不会感染其它的寄宿文件, 一般在同一台主机上只有一个特洛伊木马。

而病毒具有传染性, 会不断感染其它的同类文件, 在同一台主机上,
会出现很多被感染的文件。

而当前, 人们对计算机病毒的研究比较多, 而对特洛伊木马的研究要相对滞后。

许多的反病毒软件也声称能反特洛伊木马, 可是, 现在的大多数反病毒软件采用的是特征码检测技术, 即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码, 放入病毒库中, 将待检测的软件与病毒库中的特征码比较, 如果吻合则判断为恶意代码。

特征码技术对于检测已知恶意代码, 非常快捷有效, 可是对于检测未知的恶意代码则无能为力。

反病毒软件的检测能力总是落后于新的恶意代码的出现的, 在这个时间差内, 新的恶意代码可能就会泛滥, 造成重大损失, 特征码技术的这种局限性就决定了其滞后性。

在网络攻击与安全防范日益激烈的对抗中, 特洛伊木马攻击技术在不断地完善。

现在特洛伊木马攻击手段已成为网络攻击的最常见、最有效的手段之一, 是一系列网络攻击活动中重要的组成部分, 严重地威胁着计算机网络系统的安全。

网络安全迫切需要有效的木马检测防范技术。

2 木马病毒的概况
2.1 木马病毒的定义
木马的全称是”特洛伊木马”,是一种新型的计算机网络病毒程序。

它利用自身所具有的植入功能,或依附其它具有传播能力病毒,或经过入侵后植入等多种途径,进驻目标机器,搜集其中各种敏感信息,并经过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。

相关文档
最新文档