@TWMAN‎ > ‎Research (研究)‎ > ‎

d93efa9141593bc8cea045d080ed5658


2012/03/22 更新資訊:
目前只有非常少的防毒軟體可偵測到,故目前建議:
信件內容長的像這樣:

d93efa9141593bc8cea045d080ed5658 ( 國科會資訊工程學門資訊系統管理研究人才通訊錄.xls )

E-Mail 收到這樣的附檔千萬別亂執行

2012/03/20 18:56 (UTC +0) … 關在這該死的英國宿舍

嘆 … 但好不容易快完成計畫了 (2012/04/30),東西也都做的差不多了 !


適逢正在一直測試修改新增 TWMAN+ 的新功能 … 剛好拿到一位大師 (網路攻防戰) 給的 APT MAIL樣本

( APT ? 啊 ? 不懂 ? 絕對不是 Linux 的 Advanced Packaging Tool,快 Google 吧 ! )

也剛好說明一下新增了那些東西 … 第一個就是前幾天提到的 " Volatility Framework "

只是想說反正原本就會把感染時的 Memory 給 dump 出來,一直沒去動它也很囧 … 就順手加了 !


三張圖是我實際用 TWMAN+ 在分析的 screenshot … 其實還特別為此略調了架構和功能做測試 ( 嗯 ? 也就是又多了加了東西啦 )

當然啦,也特別裝上了 Office 來開啟這個檔案,可惜的是一打開 ... Office 就提醒你副檔名和其格式不符 ( WoW ! 好勵害啊 ! )

仔細看著它跑,好像沒啥特別,就是 CPU Loading 一直爆走 …. 如果你仔細看圖,就能發現我也加了 Capture-BAT 在旁邊跑 …


但也不知是我不會用還是怎樣,個人覺得它那樣永無止盡的跑下去實在很難讓我改成自動控制的 !


正當我想說一般都只分析個 5 ~ 8 分鐘 … 這隻要分析多久勒 ? ( 因為是半手動 )

話說我的環境是封閉式的 … 而且整合了 InetSim 套件 !

在過程中看到它掃了很多 IP ! 其中下方紅色 IP 的 Google一下發現都是個 " 極虎木馬 "

65.6.163.4.50144
89.123.188.11.8957
90.52.108.231.58856
85.11.66.73.38338
72.192.20.73.16306
219.77.13.11.22137
90.201.190.208.25439
58.63.39.204.40139
77.66.224.30.30478
62.65.208.112.9342

還看到它 DNS query 了 百度 還有 190.nsv33987.com

註1: 極虎木馬 (2010年的新聞)

金山雲安全監測中心8日發佈緊急病毒預警稱,「極虎」木馬下載器已經全面爆發,僅2月7日一天,就有100,390台電腦感染該病毒。到目前為止被襲擊用戶電腦超過50萬台,並導致大部分安全軟體失效。囂張的病毒團夥虎年給線民定制一份病毒「巨無霸」套餐,威力比「熊貓燒香」猛上數倍。據金山安全實驗室反病毒專家李鐵軍介紹,近日,大量網友發現,電腦開機後會「自動」提示系統檔丟失。進程中還會莫名出現rar.exe和ping.exe,不僅佔用大量系統資源並無法結束進程。原來,這是一個名為「極虎」的惡性病毒突然在年前爆發的結果。原文網址: 共產黨「極虎」木馬與「毛語錄」同樣是病毒首惡!

註2: 190.nsv33987.com

這一個 DNS Query 就更有趣了,居然查到 Comodo Instant Malware Analysis 的其中一個報告上也有 !

baa11442fb1a6d1609df0c269ffa0581713d83c00b68f4819082769370b9987a

更意外的發現 ! WoW ! 原來它不止 CPU Loading 高 …. 網路對外連了幾個 IP 還一直在掃區網耶 !

更神的是 … 這個 吃很重 Loading 的 svhost.exe 怎麼關也關不掉哦 ! ( 意外符合極虎 ? 但我想它應該不是 )

但更神的來了 .. 原本想讓它真的打一下我宿舍這邊的區網 … 當我把接在 Server 的網路線拔掉時 …

唉呦 ! Loading 降了 …. 正常了 !!!!! 一插回去網路線 … 又繼續爆走 !!! 好勵害啊 !!!!

那麼如同大師所講的 … 丟到 VirusTotal 上 … 嘿 ~ 真的只有 M$ 自己判斷出來哩 !



啊 ? 講那麼多 ! 報告嗎 ? 嗯 ! 我放在 SourceForge 上了 … 只有報告 ? 其它相關分析記錄勒 ?


請見諒這該死的英國家用寬頻速度只有 5M/512KB ( 一個月要價 3X 英鎊 ) …

( 謎: 中華電信好好哦 !!!! 無誤 !!!! )

不過 … 這倒是讓我發現到底報告要怎樣調整比較好 …

又到底要怎樣整合 Interval Type-2 Fuzzy System !!!

Go !!!

希望 2012/03/31 可以釋出更棒的版本 !