样本分析

在今年1月22日McAfee官方博客发布文章称在发现了一个私有的点对点(p2p)网络中被发现一个新的勒索软件系列,并根据留下的勒索信息命名为Anatova,具体更多详情可以查看原文,故此对Anatova勒索病毒进行一番分析。
2019年2月22日, 360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250)传播木马程序的恶意ACE文件。并提醒用户务必对此高危漏洞做好十足的防护措施。
近期,360安全大脑监测发现了一款通过搜索引擎广告位进行大量传播的游戏盗号木马,该木马针对“集结号”棋牌游戏的用户群体进行盗号,对用户的“虚拟财产”可能造成难以估计的损失。
Lucky是一种超强传播能力的恶意代码软件家族。本文只分析其中的加密勒索模块部分,主要实现其加密后文件的解密,至于其他攻击模块,可参考文章后边提供的其他文章
病毒分析很心酸,真的会秃头。唉。不说了。头发真的都掉完了~~~
此次病毒多次使用隐藏技术,反复转移文件,以及使用Hook技术对抗分析。但是美中不足的是,释放样本的时候没有加密资源,直接获得了payload。
这是一个恶意软件在用户眼皮底下进行攻击的案例。虽然Kutaki窃密软件使用的反沙箱和反调试技术略显落后,但不要小看它。它对未硬件化虚拟机及其他一些分析工具具有很好的对抗性。可以绕过很多常规的检测手段。
接着上文,继续对Vidar窃密木马进行介绍。
前不久,我因为将遇到的恶意软件误认为 Arkei(一款功能强大的窃密木马)而付出了代价。根据当时我设置的Yara规则,显示匹配到的是 Arkei,但是经过逆向分析之后,我发现遇到的这个恶意软件并非Arkei。
最近拿到一个新的HWP样本,样本本身利用的是一个老漏洞,这个样本吸引我们的是shellcode部分。相关漏洞的细节我们在之前的文章中已有描述。需要注意的是,这次的样本和上次的样本在最终的执行流切换方面有一些差异。