自从08年老汉推车之后,各种腐竹层出不穷,看的我们是眼花缭乱,难辨真假。以下是自己判断辅助是否捆绑其他恶意软件的方法,以免遭受盗号之痛(虽然跑跑帐号不是很值钱,但还是有些人。。。你懂的。。。)
方法很简单,在这里我们需要使用一个在线分析系统(不是所谓的在线查毒)
在这里就以论坛里面很火的“自动改装”辅助为例来进行分析(注:此处的自动改装是被人绑马后的)
直接上图:
1.金山火眼分析的
- 文件名称:全自动车辆改装,轻松3红.zip
- 文件哈希:73a644bb71d39bb44ba8e9a8d7834c00
- 文件大小:2.12MB
- 创建时间:2012-09-05 18:11:12
- 文件类型:ZIP
- PEID信息:Not a valid PE file
火眼点评 利用全局消息钩子注入指定文件到其他进程;检测是否存在指定注册表键;添加开机自启动项;查找文件;创建互斥体;创建进程;搜索指定窗口;疑似捆绑多个文件,警惕流氓软件捆绑推广或病毒捆绑传播(需与正常安装包区分开);设置文件属性
危险行为监控 - 行为描述:利用全局消息钩子注入指定文件到其他进程附加信息:%system%\karnel32.dll【注入模块】karnel32.dll【钩子类型】0x00000002,0x00000007【目标进程】
其他行为监控
行为描述:设置文件属性附加信息:
%system%\KartSvr.exe >> HIDE >> SYSTEM%system%\karnel32.dll >> HIDE >> SYSTEM
行为描述:疑似捆绑多个文件,警惕流氓软件捆绑推广或病毒捆绑传播(需与正常安装包区分开)附加信息:
joined.exe全自动车辆改装.exe
行为描述:搜索指定窗口附加信息:
["" , "Login"]["" , "PopKart Client"]
行为描述:创建进程附加信息:
%system%\KartSvr.exe%system%\cmd.exe
%temp%\Joined.exe%temp%\ope4.exe
%temp%\全自动车辆改装.exe
行为描述:创建互斥体附加信息:
"_MATCHTHREADEVENT_2011_""oleacc-msaa-loaded"
"vivi Pirate install""vivi Pirate server"
行为描述:查找文件附加信息:
"%temp%\2024全自动车辆改装""%temp%\2024全自动车辆改装\TC.lc"
"%temp%\2024全自动车辆改装\api.xml""%temp%\2024全自动车辆改装\main.twin"
"%temp%\2024全自动车辆改装\matchDll.dll""%temp%\2024全自动车辆改装\matchLib.dll"
"%temp%\2024全自动车辆改装\sourseTemp.bak""%temp%\2024全自动车辆改装\光启动变形最佳.bmp"
"%temp%\2024全自动车辆改装\光启动变形集气.bmp""%temp%\2024全自动车辆改装\尖启动变形最佳.bmp"
"%temp%\2024全自动车辆改装\尖启动变形组队.bmp""%temp%\2024全自动车辆改装\测试.bmp"
"%temp%\2024全自动车辆改装\魔启动变形组队.bmp""%temp%\2024全自动车辆改装\黑启动变形最佳.bmp"
"%temp%\2024全自动车辆改装\黑启动变形集气.bmp"
行为描述:添加开机自启动项附加信息:
[KartSvr] - %system%\KartSvr.exe[KartSvr] : %system%\KartSvr.exe
行为描述:检测是否存在指定注册表键附加信息:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Comdlg32HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network
文件操作监控 进程操作监控 - <div title="" %temp%\ope4.exe""="" class="signline" style="overflow: hidden; white-space: nowrap; word-break: break-all; text-overflow: ellipsis; width: 618px; ">创建进程:"%temp%\ope4.exe"
启动参数:无<div title="" %system%\kartsvr.exe""="" class="signline" style="overflow: hidden; white-space: nowrap; word-break: break-all; text-overflow: ellipsis; width: 618px; ">创建进程:"%system%\KartSvr.exe"
启动参数:无
创建进程:无<div title="" %system%\cmd.exe="" c="" del="" %temp%\ope4.exe="" style="width: 618px; ">nul"" class="signline">启动参数:"%system%\cmd.exe /c del %temp%\ope4.exe > nul"<div title="" %temp%\joined.exe""="" class="signline" style="overflow: hidden; white-space: nowrap; word-break: break-all; text-overflow: ellipsis; width: 618px; ">创建进程:"%temp%\Joined.exe"
启动参数:无<div title="" %temp%\全自动车辆改装.exe""="" class="signline" style="overflow: hidden; white-space: nowrap; word-break: break-all; text-overflow: ellipsis; width: 618px; ">创建进程:"%temp%\全自动车辆改装.exe"
启动参数:无
注册表监控 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[KartSvr] = [%system%\KartSvr.exe]
在这里我们需要注意的内容一般就是文件创建那一项,因为大多数病毒和盗号软件都是需要通过释放文件和创建进程来达到自己不可告人的目的的。。一般在系统盘创建exe文件,释放文件等行为都是非常可疑的。百分之80可以判断为病毒
(注意里面红色标注的地方最后我来总结一下:一般来说,捆绑了木马的辅助,在你点击的时候一般都会忙着先释放病毒,然后在打开相应的辅助等待你输入帐号和密码。所以,在使用在线分析的时候主要就是看其是否在系统盘创建exe文件,是否添加开机启动项,是否创建驱动,是否自动启动某程序,是否自动连接网络
