样本分析记录 :: x7peeps

样本分析-trojan/buzus“霸族”木马通过邮件传播

Thu, 12 Dec 2019 20:31:00 +0800

Trojan/Buzus“霸族”木马通过邮件传播背景探针恶意邮件样本中发现此木马，邮件内容如下：收件人:<脱敏内容> 日期:Mon, 9 Sep 2019 12:58:31 +0800 主题:You have got a new message on Facebook! 邮件内容:Facebookfacebook Hi,You have got a personal message on Facebook from your friend.To read it please check the attachment.Thanks, The Facebook Team 附件:Facebook message.zip(227130) 关于buzus 翻阅网上的关于霸族的资料介绍如下： W32/Buzus是一种蠕虫，它通过将自身复制到可移动驱动器来传播，并试图从受损的计算机中窃取机密信息。https://www.symantec.com/security-center/writeup/2009-121019-2757-99 霸族本身存在蠕虫行为，且存在传染性可能。本次样本发现为木马类buzus，或同源Trojan.AgentWDCR.HWI行为，基于各厂商对病毒命名不同略有差别。https://www.virustotal.com/gui/file/e41e19b9ee8889b3887b8cacf264468c661bdf382706bbd9052c1f95c4eea504/detection

样本分析-邮件恶意样本发现azorult间谍软件传播

Sat, 23 Nov 2019 21:29:00 +0800

邮件恶意样本发现AZORult间谍软件传播历史上AZORult家族为间谍软件在网上流传，上一次针对国内爆发的行动是在2018年7月18日，本次发现可能意味着其在国内行动仍然存在。针对此回连恶意域名的流量检索中未发现相关回链请求告警，意味着在流量范围内暂未发现相关成功行为。但不排除用户使用个人设备误点击触发漏洞在监控范围外。

样本分析-邮件恶意样本中发现新mydoom蠕虫传播地址

Sun, 13 Oct 2019 20:29:00 +0800

邮件恶意样本中发现新MYDOOM蠕虫传播地址 2019.08.19 流量监测发现附件中存在恶意样本,经判定属于MYDOOM蠕虫：样本邮件主题:Delivery reports about your e-mail 发件人:“Returned mail” 收件人:pany@…… 日期:Mon, 19 Aug 2019 05:51:20 +0800 <为防止泄密和保护隐私，已对邮件内容进行屏蔽> 附件1165539.scr

qax-vpn-pwn工具投毒事件分析

Mon, 01 Jan 0001 00:00:00 +0000

xaq-vpn-pwn工具投毒事件基本信息 QaxVpnPwn.jar 哈希: MD4: 55d3d7e6ed3d34ca19f292fb6725aaab MD5: b330ac8ff7b48d9e61700fae1ead4a1f SHA1: cf5c4ea0320689854499a77c9378ed79ba82a542 SHA224: ee1d7bf17d1f8a56d55cb4fcfdbd608438d3afc0336ef9d513c4d1f1 SHA256: 5c931a2c1e2d5bccfa4ba4f0c7ad59dd761850ded18364aa94385dbf1db3ab64 SHA384: 9a1a0c83ed37a079e368b193681361b2d3b52e7ff0ca3901946a81dc849e75d0e23d3d28df44ead5ca5828387a1b7fb4 SHA512: dc5430044e6ad587601e465a5caa82951a1167d63d493d26d7f0dd8942326ec390be7aed6af0bf5c95a7f247845c81acbaf85081220e2db1b105c8723fadbe65 静态分析在威胁情报查询 [+]threatbook情报: 概要信息：威胁等级：恶意是否为白名单文件：非白名单文件提交时间：2023-08-15 10:59:45 文件名称：QaxVpnPwn.jar 文件类型：JAR 文件的 Hash 值：5c931a2c1e2d5bccfa4ba4f0c7ad59dd761850ded18364aa94385dbf1db3ab64 静态标签：jar 检测标签：无数据威胁分数：0 本次指定获取的沙箱运行分析环境：win10_1903_enx64_office2016 样本分析成功的所有沙箱运行环境列表：win7_sp1_enx86_office2013,win7_sp1_enx64_office2013,win10_1903_enx64_office2016 反病毒扫描引擎检出率：0/24 反病毒扫描引擎检测结果：扫描时间：2023-08-15 13:48:15 检测结果： 'IKARUS': 'safe' 'vbwebshell': 'safe' 'Avast': 'safe' 'Avira': 'safe' 'Sophos': 'safe' 'K7': 'safe' 'Rising': 'safe' 'Kaspersky': 'safe' 'Panda': 'safe' 'Baidu-China': 'safe' 'NANO': 'safe' 'Antiy': 'safe' 'AVG': 'safe' 'Baidu': 'safe' 'DrWeb': 'safe' 'GDATA': 'safe' 'Microsoft': 'safe' 'Qihu360': 'safe' 'ESET': 'safe' 'ClamAV': 'safe' 'JiangMin': 'safe' 'Trustlook': 'safe' 'MicroAPT': 'safe' 'OneAV': 'safe' 静态信息：文件类型：Java archive data (JAR) 文件名称：5c931a2c1e2d5bccfa4ba4f0c7ad59dd761850ded18364aa94385dbf1db3ab64-1692078451 行为签名：签名名称：console_output 签名描述：命令行控制台有数据输出签名分类：General 严重等级：1 行为签名：签名名称：create_file_intemp 签名描述：在临时目录中创建文件签名分类：General 严重等级：1 行为签名：签名名称：getsysteminfo 签名描述：获取系统信息签名分类：Environment Awareness 严重等级：1 行为签名：签名名称：ipurl_in_string 签名描述：在文件内存中发现IP地址或url 签名分类：Static File Characteristics 严重等级：1 行为签名：签名名称：open_cfg_file 签名描述：尝试打开应用程序的配置文件（.cfg）签名分类：General 严重等级：1 行为签名：签名名称：query_machine_timezone 签名描述：包含查询计算机时区的功能签名分类：Environment Awareness 严重等级：1 行为签名：签名名称：create_guard_page 签名描述：创建PAGE_GUARD属性的内存页，通常用于反逆向和反调试签名分类：Anti-Reverse Engineering 严重等级：2 行为签名：签名名称：evasion_time 签名描述：感知时区，常用于躲避恶意软件分析系统签名分类：General 严重等级：2 释放行为：无进程行为：共分析了1个进程进程名称：java.exe 进程命令："C:\Program Files\Java\jre1.8.0_121\bin\java.exe" -jar C:\gym95dg\QaxVpnPwn.jar 进程 ID：1692 父进程 ID：1952 网络行为： dns_servers：8.8.4.4,8.8.8.8 静态信息：文件类型：Java archive data (JAR) 文件名称：5c931a2c1e2d5bccfa4ba4f0c7ad59dd761850ded18364aa94385dbf1db3ab64-1692078451 分析报告链接： https://s.threatbook.com/report/file/5c931a2c1e2d5bccfa4ba4f0c7ad59dd761850ded18364aa94385dbf1db3ab64 jar反编译分析使用jadx-gui查看，可以看到这段可疑代码看到一段疑似shellcode