木马病毒的行为分析样本

木马分析报告1. 引言木马（Trojan），又称为“特洛伊木马”，是指通过伪装成正常合法程序或文件进入目标系统，并在未被用户察觉的情况下，对系统进行非法操作的恶意软件。

木马程序的存在给系统安全带来了重大威胁，因此，对木马进行深入分析和研究十分必要。

本文将对一款木马进行分析，并对其传播方式、特征和危害进行探讨。

2. 木马的传播方式木马程序主要通过以下几种方式进行传播： 1. 邮件附件：木马程序常常伪装成诱人的附件，通过邮件发送给用户，一旦用户点击或下载附件，木马程序就会悄悄安装和运行。

2. 网络下载：用户在未经过恶意网站的仔细筛选的情况下，下载了含有木马的软件或文件，木马程序就会被安装到用户的系统中。

3. 可移动存储介质：如U盘、移动硬盘等存储介质中含有木马程序，只要用户将这些介质连接到自己的电脑上，木马程序就会被植入系统。

4. 动态链接库：木马程序可能会以DLL（Dynamic-Link Library）的形式出现，通过注入到正常进程中，实现对系统的控制。

3. 木马的特征为了能够更好地进行木马防护，我们需要了解木马的一些特征： 1. 欺骗性：木马程序通常伪装成合法可信的程序或文件，例如常见的.exe、.doc、.pdf等，以迷惑用户进行安装或下载。

2. 启动项修改：木马程序常常会修改系统的启动项，以保证自己能够在系统启动时自动运行，从而实现长期隐藏控制。

3. 远程控制：木马程序通常与远程服务器建立连接，以便黑客能够远程控制被感染的系统，进行各种操控、监控和窃取敏感信息等操作。

4. 系统资源占用增加：木马程序运行时会消耗大量系统资源，例如CPU和内存，从而降低系统的整体性能。

5. 网络流量增加：木马程序会通过网络上传、下载数据，导致网络流量明显增加，对网速造成影响。

4. 木马的危害与预防木马程序给系统带来的危害非常严重，包括但不限于以下几个方面： 1. 数据窃取：木马程序可以利用系统权限，窃取用户的个人隐私数据，例如登录名、密码、银行账号等。

完整版-木马分析一个木马的分析第一次详细分析木马，不足之处请见谅。

这个木马一共4KB，是个比较简单的程序，所以分析起来也不是很难。

下面开始正式分析。

这是程序的主题函数，一进来就是三个初始化的call，然后就是一个大的循环，程序就是在这个循环之中不停的运行着。

跟进第一个call:函数首先创建了一个hObject变量～用于存放创建的互斥对象句柄。

mov [ebp+hObject],start proc near eax就是将创建的互斥句柄传送到call sub_401481hObject中。

这里是创建了一个名为 call sub_401092 H1N1Bot的互斥对象。

然后调用 call sub_4011AEloc_4014C4: GetLastError得到错误码～这里加call sub_4013D5入程序已经有一份实例在运行了～则 call sub_40143Fpush 0EA60h ; 这个互斥对象就是创建过了的～就是dwMilliseconds 得到错误代码为0B7h的值。

通过查 call Sleep询msdn发现:0b7h含义是Cannot jmp short loc_4014C4start endp create a file when that filealready exists.所以这样就防止了木马程序同时打开了多份。

当返回值是0B7h的时候～调用ExitProcess退出程序。

总结来说这个call就是检查程序是否已经打开～要是打开过了就退出。

进入401092的call，由于这hObject = dword ptr -4个函数代码过多，就不贴详细的.text:00401481代码了。

函数定义了两个局部字.text:00401481 push ebp符串数组ExistingFileName，.text:00401482 mov ebp, espString2(这里是ida分析给出的名.text:00401484 add esp, 0FFFFFFFCh 字)和一个文件指针。

“木马行为分析”报告一、木马程序概述在计算机领域中，木马是一类恶意程序。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。

控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

1、木马的定义木马是隐藏在合法程序中的未授权程序，这个隐藏的程序完成用户不知道的功能。

当合法的程序被植入了非授权代码后就认为是木马。

木马是一个用以远程控制的c／s程序，其目的是不需要管理员的准许就可获得系统使用权。

木马种类很多，但它的基本构成却是一样的，由服务器程序和控制器程序两部分组成。

它表面上能提供一些有用的，或是仅仅令人感兴趣的功能，但在内部还有不为人所知的其他功能，如拷贝文件或窃取你的密码等。

严格意义上来说，木马不能算是一种病毒，但它又和病毒一样，具有隐蔽性、非授权性以及危害性等特点，因此也有不少人称木马为黑客病毒。

2、木马的分类木马的种类很多，主要有以下几种：其一，远程控制型，如冰河。

远程控制型木马是现今最广泛的特洛伊木马，这种木马起着远程监控的功能，使用简单，只要被控制主机联入网络，并与控制端客户程序建立网络连接，控制者就能任意访问被控制的计算机。

其二，键盘记录型。

键盘记录型木马非常简单，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里进行完整的记录，然后通过邮件或其他方式发送给控制者。

对有关病毒木马的案例分析通过学习网络安全法律法规，我们对“大小姐木马”与“熊猫烧香病毒”做出了学习与分析。

一、“大小姐”病毒起因与发展。

2008年5月6日，南京市公安局网络警察支队接江苏省水利厅报案称，该厅政务网站“江苏水利网”页面无法打开，怀疑疑被黑客侵入。

据了解，江苏省水利厅网站主要承担公文办理、汛情下达等重要任务，日访问量在5000人次。

当时，江苏全省已进入汛期，该网站能否正常运行将直接影响全省防汛工作。

南京市公安局网络警察支队将其立为破坏计算机信息系统案侦查，并迅速会同鼓楼公安分局抽调精干警力，成立“5·6”专案组。

攻击是为植入“大小姐”木马专案组围绕省水利厅网站被黑客攻击案，迅速开展勘查取证、侦查侦控、追查抓捕等侦查工作。

去年5月14日至6月6日，专案组在湖北宜昌、广西桂林、湖北潜江等地抓获何某等6名犯罪嫌疑人，成功侦破水利厅网站被攻击案。

在侦破水利厅网站被攻击案件过程中，专案组发现，这些人攻击水利厅网站的目的，是为了在该网站上植入一款名为“大小姐”的木马盗号程序。

而这个“大小姐”木马早已臭名昭著，不少网络游戏账号均被该木马程序盗取过。

这一情况引起公安部高度重视，公安部指定南京市公安局管辖此案，并于7月1日挂牌督办本案。

专案组经艰苦工作，分别于6月13日在上海、6月24日在四川广元、绵阳、10月10日在湖南长沙抓获了制作、传播“大小姐”系列木马，破坏计算机信息系统犯罪团伙的组织者王某、作者龙某及销售总代理周某等10人。

犯罪嫌疑人王某以牟利为目的，自2006年下半年开始，雇用犯罪嫌疑人龙某先后编写了四十余款针对国内流行网络游戏的盗号木马。

王某拿到龙某编写的木马程序后，对外谎称为自己所写，同时寻找代理人进行销售，先后通过周某等人在网上总代理销售木马，该木马系列在传播销售时被命名为“大小姐”木马。

购买了“大小姐”木马的犯罪嫌疑人，则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏进行盗号。

Android木马Smspacem分析报告Android木马Smspacem分析报告安天实验室Android木马Smspacem分析报告安天实验室一、基本信息病毒名称：Trojan/Android.Smspacem病毒类型：木马样本MD5：60CE9B29A6B9C7EE22604ED5E08E8D8A样本长度： 1855,053 字节发现时间：2011.05.22感染系统：Android 2.1及以上二、概述Smspacem木马主要行为是在开机时自启动，被该恶意软件感染的设备会自动获取手机用户通讯录中的信息（联系人名称、电话号码、Email等），自动向其联系人电话发送短信，其内容为事先编辑好的，如“现在无法通话，世界末日即将来临”等；该软件还试图访问指定的主机服务，并将从被感染设备的通讯录中获得的邮箱地址发送到远程服务器上；最后还会将被感染设备的壁纸修改为事先设定好的图像。

当被该恶意软件感染的设备接收短信时，短信将被拦截，并且该恶意软件将删除短信数据库中的短信，并且向该短信的发送地址发送一条事先编辑好的信息，如“现在无法通话，世界末日即将来临”等。

这一类的木马主要由最近关于世界末日将于2011年5月21日来临的新闻所引起。

抵御木马的关键是用户要对自己的设备进行安全设置，并在安装软件后查看其权限中是否存在敏感的权限等。

图 1 Holy软件界面及特殊权限三、样本特征3.1敏感权限●允许应用程序访问设备的手机功能：有此权限的应用程序可以确定此手机的号码和序列号、是否正在通话、以及对方的号码等。

●允许应用程序发送短信：恶意应用程序可能会不经您的确认就发送信息，给您产生费用。

●允许应用程序写入手机或 SIM 卡中存储的短信：恶意应用程序可借此删除您的信息。

●允许应用程序读取您的手机或 SIM 卡中存储的短信：恶意应用程序可借此读取您的机密信息。

●允许应用程序接收和处理短信：恶意应用程序可借此监视您的信息，或者将信息删除而不向您显示。

常见的计算机病案例分析计算机病毒是指一种能够在计算机系统中快速传播、破坏系统功能并且自我复制的恶意软件，给计算机系统和用户带来不同程度的危害。

随着计算机技术的不断发展，各种类型的计算机病毒层出不穷。

本文将对常见的计算机病毒案例进行分析，以便更好地了解计算机病毒的特点和防范措施。

一、蠕虫病毒案例分析蠕虫病毒是一种能够自我复制并在计算机网络中传播的恶意软件。

2001年，“伊洛扎病毒”（ILOVEYOU）的爆发就是蠕虫病毒的典型案例。

该病毒通过电子邮件发送，并自动复制并发送给用户的联系人。

一旦用户打开这个附件，病毒就会释放并开始传播，导致大量计算机系统瘫痪。

针对蠕虫病毒的防范措施主要包括及时更新杀毒软件和系统补丁、不随意打开陌生邮件和链接、加强用户教育等。

此外，建立健全的网络安全策略和完善的防火墙也是重要的预防措施。

二、木马病毒案例分析木马病毒是一种隐藏在合法软件中的恶意代码，通过欺骗用户而进行自我复制和传播。

2005年，“黑客之门”（Blackhole）木马病毒的出现引起了广泛的关注。

该病毒通过网络攻击获取用户终端的控制权，窃取用户的隐私信息和敏感数据。

预防木马病毒的关键是提高用户的信息安全意识和加强软件来源的可信度。

用户应避免下载未知来源的软件，及时更新操作系统和应用程序，并通过安装防病毒软件和防火墙等安全工具进行保护。

三、病毒勒索案例分析病毒勒索是指黑客利用恶意软件对计算机进行攻击，并要求用户支付“赎金”以解密或恢复文件和数据的过程。

2017年，“勒索病毒WannaCry”（WannaCry）的爆发引起了全球范围内的恶性感染。

该病毒通过利用操作系统漏洞进行攻击，并迅速传播至全球数十万台计算机。

预防病毒勒索的关键是定期备份重要数据和文件，并使用强密码对其进行保护。

此外，及时安装系统补丁和防病毒软件、禁用不必要的网络服务和端口也是必要的防范措施。

四、间谍软件案例分析间谍软件是一种监视用户计算机活动并收集用户隐私信息的恶意软件。

学号：***********院系：诒华学院成绩：西安翻译学院XI’AN FANYI UNIVERSITY毕业论文题目：网络木马病毒的行为分析专业：计算机网络技术班级：103120601*名：******师：***2013年5月目录1 论文研究的背景及意义...................................................................................... - 3 -2 木马病毒的概况 .................................................................................................. - 4 -2.1 木马病毒的定义......................................................................................... - 4 -2.2 木马病毒的概述......................................................................................... - 4 -2.3 木马病毒的结构......................................................................................... - 4 -2.4 木马病毒的基本特征................................................................................. - 5 -2.5木马病毒的分类.......................................................................................... - 5 -2.6木马病毒的危害.......................................................................................... - 6 -3 木马程序病毒的工作机制.................................................................................. - 6 -3.1 木马程序的工作原理................................................................................. - 6 -3.2 木马程序的工作方式................................................................................. - 7 -4 木马病毒的传播技术.......................................................................................... - 7 -4.1 木马病的毒植入传播技术......................................................................... - 8 -4.2 木马病毒的加载技术................................................................................. - 9 -4.3 木马病毒的隐藏技术................................................................................ - 11 -5 木马病毒的防范技术......................................................................................... - 11 -5.1防范木马攻击............................................................................................. - 11 -5.2 木马病毒的信息获取技术...................................................................... - 12 -5.3 木马病毒的查杀...................................................................................... - 12 -5.4 反木马软件............................................................................................... - 12 -6 总结 .................................................................................................................... - 13 -网络木马病毒的行为分析彭蕊蕊西安翻译学院诒华学院计算机网络技术 103120601摘要:随着计算机网络技术的迅速发展和普及,Internet网络使得全世界的人们可以自由的交流和分享信息,极大的促进了全球一体化的发展。

Android木马分析报告一、样本特征：1. 基本信息该病毒伪装成正常软件，启动时开启后台监听服务，后台拦截包含指定内容的短息并修改，窃取用户隐私，同时私下发送短信，存在诱骗欺诈行为。

样本MD5：3ea3c573b257e0ede90c23ff908be1ff样本包名：com.way.xx样本证书串号：53a67b752. 特征描述该病毒伪装成正常软件，启动时开启后台监听服务，后台拦截包含指定内容的短息并修改，窃取用户隐私，同时私下发送短信，存在诱骗欺诈行为。

二、样本分析：软件安装运行：图1 图2如图1所示，安装该病毒软件后桌面上出现一个类似正常软件的图标。

运行病毒后图标消失，如图2所示。

从病毒隐藏自身的图标来看，是恶意防止用户卸载，从而达到保护自身的目的。

如图下图所示是该病毒用到的一些敏感权限。

代码分析：软件入口程序入口com.way.activity.MainActivity，进入之后onCreate方法，此处SMSListenerService短信监听服务，同时启动服务后隐藏了图标。

调用的隐藏该软件图标的方法，在该病毒运行后达到隐藏图标的目的：病毒启动短信监听服务后，会在后台监控短信的广播消息。

获取短信的来源地址和短信内容，并监控包含知道你跟内容的短信，当接收到符合条件的短信后篡改其中的短信内容通过sendThread中的run方法将获得用户隐私上传到指定的服务器：后台发送短信AlarmReceiver中短信发送线程：从指定服务器获取短信信息的方法。

将从指定服务器获取的短信发送出去：结论：此病毒运行后会隐藏自身图标，防止用户卸载。

通过开启后台服务监听户用短信，并修改短信内容，后台私自发送短信，存在欺诈嫌疑。