木马病毒分析

病毒侵袭持续中 Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 32768/32768 K (Java/Others) Total Submission(s): 16101 Accepted Submission(s): 5463 Problem Description 小t非常感谢大家帮忙解决了他的上一个问题。然而病毒侵袭持续中。在小t的不懈努力下，他发现了网路中的“万恶之源”。这是一个庞大的病毒网站，他有着好多好多的病毒，但是这个网站包含的病毒很奇怪，这些病毒的特征码很短，而且只包含“英文大写字符”。当然小t好想好想为民除害，但是小t从来不打没有准备的战争。知己知彼，百战不殆，小t首先要做的是知道这个病毒网站特征：包含多少不同的病毒，每种病毒出现了多少次。大家能再帮帮他吗？ Input 第一行，一个整数N（1<=N<=1000），表示病毒特征码的个数。 接下来N行，每行表示一个病毒特征码，特征码字符串长度在1—50之间，并且只包含“英文大写字符”。任意两个病毒特征码，不会完全相同。 在这之后一行，表示“万恶之源”网站源码，源码字符串长度在2000000之内。字符串中字符都是ASCII码可见字符（不包括回车）。 Output 按以下格式每行一个，输出每个病毒出现次数。未出现的病毒不需要输出。 病毒特征码: 出现次数 冒号后有一个空格，按病毒特征码的输入顺序进行输出。 Sample Input 3 AA BB CC o…

本文作者：i春秋作家——icq5f7a075d 宏病毒专辑：https://bbs.ichunqiu.com/forum.php?mod=collection&action=view&ctid=133 3. 宏病毒实例分析 3.1 实例1 接下来，我将以demo2.doc为例，实例分析宏病毒，demo2是一个真实的宏病毒，请在虚拟机中分析。 打开demo2.doc，发现弹出了“安全警告”，文本中内容提示用户要点击“启用内容”才能看到文件内容，实际上这里是社会工程学攻击，用户单击“启用内容”就会运行宏，并感染病毒： ALT+F11打开VBA编辑器，查看宏代码。但是你会发现，此时工程里没有数据，这是因为我们没有单击“启用内容”，VBA工程还没有加载。 单击“启用内容”，这个时候宏就已经运行了，再次查看VBA编辑器，弹出了要求输入密码的对话框。除了输入密码，我们不能看到其他信息，看来这段宏被加密了，接下来我们就要祭出神器VBA_Password_Bypasser进行解密了。 关闭demo2.doc ，使用VBA_Password_Bypasser重新打开demo2.doc，再次打开VBA编辑器查看宏代码，宏代码一览无余： 这段宏首先拼接了一段字符串CGJKIYRSDGHJHGFFG，这段字符串是一段命令，接下来就调用Shell() ，执行这段命令。 但是CGJKIYRSDGHJHGFFG的内容经过混淆，我们没办法一眼看出执行了什么命令，我们可以改造宏代码，使用Msgbox将CGJK…

我的电脑经常出现死机、运行速度慢等异常情况，使用了多种杀毒软件也不见效，如何判断电脑异常是否是病毒在作怪？ 　　这样的例子并不少见，特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒，希望对帮助识别“真毒”有一定帮助！ 　　电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。 　　经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。 　　系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。 　　文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。 　　经常报告内存不够：病毒非法…

四、DOS病毒之引导型病毒 4.1 病毒的重定位 病毒重定位的原因 正常源程序在编译的时候，变量在内存中的位置都被计算好了，程序装入内存时，系统不会为它重定位。 病毒感染HOST后，由于其依附到不同HOST程序中的位置不尽相同，病毒随HOST载入内存后，病毒中的各个变量在内存中的位置也会随之发生变化。 病毒为了能正常使用其变量，必须重新定位。 病毒重定位的方法 借助Call指令实现 当执行Call指令时，它会先将返回地址（紧接着call语句之后的那条语句在内存中的真正地址）压入堆栈，然后将IP置为Call语句所指向的地址。 在被调子程序遇到ret指令后，就会将堆栈顶端的地址弹出来，并将其置入IP中，实现返回。 病毒的重定位就是利用call指令对IP的操作来实现的。 实现过程 VStart： ... call delta delta: pop ebp sub ebp, offset delta-VStart lea eax, [offset Var2+ebp] 4.2 引导型病毒 引导型病毒概念 指专门感染主引导扇区和引导扇区的计算机病毒。感染主引导区的病毒称作MBR病毒；感染引导区的病毒称作BR病毒。 引导型病毒的基本原理 通过感染主引导扇区和引导扇区，在启动系统时即获取控制权。 引导型病毒在感染主引导扇区/引导扇区时，将被感染扇区的“内容”写入其他扇区，并在FAT中标示该扇区所在簇为坏簇。 为能在机器运行过程中能实施感染，通过修改内存大小，截取高端内存，实现常驻内存。 引导型病毒的触发与INT 13H 引导型病毒的…

4.1 勒索病毒简介 勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件 4.1.1 常见勒索病毒 ·STOP勒索病毒 ·GandCrab勒索病毒 ·REvil/Sodinokibi勒索病毒 ·Globelmposter勒索病毒 ·CrySiS/Dharma勒索病毒 ·Phobos勒索病毒 ·Ryuk勒索病毒 ·Maze(迷宫)勒索病毒 ·Buran勒索病毒 4.1.2 勒索病毒传播方法 ·服务器入侵传播：通过系统或者软件漏洞进入服务器，或RDP破解远控；利用病毒，木马来盗取密码进行入侵； ·利用漏洞自动传播：利用系统自身漏洞进行传播 ·软件供应链攻击传播：对合法软件进行劫持篡改，绕过了安全产品 ·邮件附件传播：在附件中夹带恶意文件，执行其中的脚本 ·挂马网页传播：在网页插入木马，受害的为裸奔用户 4.1.3 勒索病毒的攻击特点 无C2服务器加密技术： ·在加密前先随机生成新的加密密钥对（非对称公，私钥） ·使用新生成的公钥对文件进行加密 ·采用攻击者预埋的公钥把新生成的私钥进行加密，保存于一个ID文件中或嵌入加密文件 无C2服务器解密技术： ·通过邮件和在线提交的方法，提交ID串或加密文件中的加密私钥（一般攻击者会提取该私钥） ·攻击者使用保留的与预埋公钥对应的私钥 解密受害者提交过来的私钥 ·把解密私钥或解密工具交付给受害者进行解密 勒索病毒平台化运营更加成熟 勒索病毒攻击的定向化，高级化 漏洞利用频率更高，攻击平台更多 攻击目的多样化 4.1.7 勒索病毒的防御方法 文档自动备份隔离（定时任务脚本自动备份）综合…

此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒。考虑到潜在的数据丢失和监视盲区，榜中数据均为保守值。该榜仅针对WINDOWS系统下的PE病毒单一样本，一些总感染量很高的病毒，如猫癣，因为变种较多，分摊到各变种上的感染量反而小，因此未列入此榜。至于脚本病毒，由于其特殊的攻击方式，将单独制作排行。 排名 病毒名 金山毒霸中文病毒名 感染量（单位:台次) 1 win32.troj.sysjunkt.hh NS窥视器 154万 2 win32.vbt.hl.84701 无公害感染源…

资料：云众可信 恶意代码分析技巧 【恶意代码分析技巧】01- 介绍 【恶意代码分析技巧】02-exe_python 【恶意代码分析技巧】03-java 【恶意代码分析技巧】04-exe_VB 【恶意代码分析技巧】05-exe_Delphi 【恶意代码分析技巧】06-exe_.net 【恶意代码分析技巧】07-exe_自动安装 【恶意代码分析技巧】08-文档宏病毒 【恶意代码分析技巧】09-文档漏洞 【恶意代码分析技巧】10-脚本 【恶意代码分析技巧】11-其他

前言 经过前几次的讨论，我们对于这次的U盘病毒已经有了一定的了解，那么这次我们就依据病毒的行为特征，来编写针对于这次U盘病毒的专杀工具。 专杀工具功能说明 因为这次是一个U盘病毒，所以我打算把这次的专杀工具换一种形式实现。不再像前几次那样需要被动运行，而是当我们的专杀工具执行后，一旦有U盘插入，就能主动检测U盘内容，如果发现病毒，就将其删除掉，之后检查系统中是否也存在病毒，如果有，也一并清理干净。我们这次的专杀工具需要实现以下几个功能： 1、专杀工具开启后，需要时刻监测是否有U盘插入，如果有，则启动检测机制。 这里可以使用OnDeviceChange()这个消息响应函数，从而对当前系统中新添加的设备进行实时监控，并且通过对这个函数的参数具体内容的判断，就可以实现U盘的监控。 2、查找U盘中是否存在autorun.inf文件，如果有，则解析该文件中的“open”语句后的内容，获取自启动病毒程序的名称。 解析autorun.inf文件的内容，可以使用GetPrivateProfileString()这个函数，通过它，先找到“AutoRun”区段，之后找到该区段下“open”后面的内容，就能够获取自启动的病毒程序的名称。 3、删除autorun.inf文件以及它所要打开的程序（Recycle.exe）。 首先应当计算Recycle.exe的CRC32指纹特征码，保存为全局变量，用于之后病毒程序的匹配。由于病毒创建出来的程序具有系统以及…

《万能数据库查询分析器》的EXE文件加壳技术 马根峰 ( 广东联合电子收费股份有限公司, 广州 510300) 作者博客： 新浪博客： http://blog.sina.com.cn/magenfeng 搜狐博客： http://magenfeng.blog.sohu.com/ QQ空间： http://630414817.qzone.qq.com/ CSDN文库： http://download.csdn.net/user/magenfeng CSDN博客： http://blog.csdn.net/magenfeng 1 引言 对于一个程序开发单位或者个人而言，如何才能防止别人使用DEBUG工具来破解您的程序，更好地保护您的知识产权？ 一个比较通用的做法就是把你的EXE文件进行加壳，即将EXE文件进行切分、加密。对外您只需发布各个加密的EXE子文件，而不用提供EXE文件。这样别人也就无法DEBUG您的EXE文件来进行破解。 在系统启动时，通过运行EXE外壳程序，来对各个加密EXE子文件进行解密并加载到一块内存中，从而在内存中直接启动您的应用程序。 总之，在发布软件时，您可以不发布EXE文件，只发布各个加密的EXE子文件和EXE外壳引导程序，实现对您的软件的保护。 2 万能数据库查询分析器所采用的软件保护技术 中国本土…

linux系统常作为服务器系统，已安全著称，但是随着市场占有量的增大，慢慢的linux病毒也还是增多，而对于病毒，一般都是管理员手动分析进行查杀，除了手动分析查杀病毒外，还可以借助杀毒软件进行查杀，就像windows都有杀毒软件一样，liunx的杀毒软件也是有的，但基本上都是开源的小工具，由于本身linux服务器的病毒就较少，且相对windows更难以入侵，所以专门的Linux杀毒软件较少，专门研发linux杀毒软件或病毒的人就更少了，所以，linux上通常杀毒手段就是一个精通linux安全的系统管理员。 但是，随着linux服务器在市场上的占用率的飙升，正对linux系统的病毒也开始增加了，所以，我们还是使用更为专业的杀毒软件，这里选择开源的ClamAV 杀毒软件。 PS: 在网上的文档，总是各种步骤一大堆，又要改配置这的那的，其实没必要那么麻烦，直接用yum安装的话，会自动创建很多东西，而我们只是利用其扫描功能，只要可以更新病毒库，可以进行扫描就可以了。下面就是最简单，最小化的使用。不开启clamavd放病毒服务，而是只是当作病毒扫描工具来使用。 ” ClamAV “ 安装部署与使用： 更新epel仓库源，yum下载clamav $ yum -y install epel-release $ yum install –y clamav clamav-update 更新病毒库 $ freshclam 扫描病毒 $ clamscan –ri / -l clamscan.log --remove # 这里递…

一、检查注册表启动项 大多病毒都会进入注册表启动项的，我们可以通过一些方法查看和删除。打开注册表HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/Windows/CurrentVersion点击查看其中RUN中的内容，如果不懂，把里面的东西就全删了。不过这样并不能 解决病毒，病毒还会重新写入的，不过到时可以解决木马。如果想手工杀毒，就接着跟小编一起看下面的文章吧！ 二、解决不能查看隐藏文件的方法 1、有时病毒通过修改注册表和修改文件属性（伪造CheckedValue值）的方法来达到不能查看隐藏文件的目的，这是可是打开修改注册表，找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer / Advanced/Folder/Hidden/SHOWALL,删除CheckedValue键（该键当前为字符串类型），新建 CheckedValue为DWORD值（正确的键为DWORD类型），修改值为1，系统隐藏文件就会显示了，恢复正常。 2、也可以通过ATTRIB命令使文件去掉隐藏和系统的属性。例如显示C盘根目录下文件，就可以在CMD命令提示符下输入CD/命令切换到根目录下，然后输入ATTRIB -S -H AUTORUN.INF命令就可以了 三、怎样删除病毒的主体文件 病毒都是有主体文件的，我们要手工杀毒首先就要清除病毒的主体文件，主体文件一…

【问题描述】 　　A学校的实验室新研制出了一种十分厉害的病毒。由于这种病毒太难以人工制造了，所以专家们在一开始只做出了一个这样的病毒。 　　这个病毒被植入了特殊的微型芯片，使其可以具有一些可编程的特殊性能。最重要的一个性能就是，专家们可以自行设定病毒的分裂能力 K，假如现在有x 个病毒，下一个分裂周期将会有 Kx个一模一样的病毒。你作为该实验室的数据分析员，需要统计出在分裂到第N个周期前，一共有多少个病毒单体进行了分裂。一开始时总是只有一个病毒，这个局面算作第一个周期。由于答案可能很大，专家们只需要你告诉他们对给定的P取模后的答案。 【输入格式】 　　一行三个整数，依次是K, N, P。 【输出格式】 　　一行一个整数，你的答案（对P取模） 。 【输入样例】 　　【样例1】 　　　5 3 7 　　【样例2】 　　　2 6 23 【输出样例】 　　【样例1】 　　　6 　　【样例2】 　　　8 【样例解释】 　　样例一解释：第一个周期有 1 个病毒，产生了一次分裂。第二个周期有 1*5=5 个病毒， 这五个病毒都会分裂。 所以第三个周期前一共进行了1+5等于 6 次分裂。答案即为6 mod 7 = 6。 【数据范围】 1 < N < 10^18 1 < K , P < 2^31 思路：根据题意可得答案F(N)=(N > 1)，直接计算明显时间复杂度太大，因此考虑分…

有很多公司来找到我们，说中了eking勒索病毒，因为最近时间中这个病毒的企业很多，所以我们公司特地准备了勒索病毒的防范方法和中病毒之后的处理过程及解决方案。于是我向他们提供了相应的解决方案建议，已有公司按照解决方案的建议顺利完成了文件数据的恢复工作。 对于这个.eking后缀勒索病毒究竟是什么来头？是通过什么方式传播感染的？如何预防和中毒后如何救援？让我们来一起进行了解。 什么是.eking后缀勒索病毒？ .eking后缀后缀勒索病毒是一种恶意的文件加密病毒，已于2020年5月17日在表面上被发现。攻击开始缓慢，但此后影响了全球越来越多的用户。根据研究人员，该病毒是通过与Adobe Acrobat Crack捆绑在一起的洪流网站进行分发的，该网站非常流行，并且使病毒易于传播。一旦启动了恶意有效负载，.eking后缀就开始攻击的第一阶段，即注入恶意.exe进程并获得对系统的管理特权。第二阶段与文件加密有关。为了锁定受害者的文件，该勒索病毒背后的犯罪分子使用AES加密和ID。[[email protected]] .eking后缀附录。 .eking后缀勒索病毒病毒从起源上是臭名昭著的Phobos勒索病毒家族，该家族拥有20多个成员，包括Mamba，Phoenix和ISO勒索病毒。就像前辈一样，它模仿了Dharma家族臭名昭著的文件加密病毒。它对赎金票据使用相同的样式，并在逐字上提供相同的指示。目前，.eking后缀病毒在每个包含锁定文件的文件夹中创建一个弹出窗口info.hta或文本文件info.txt。该文件包含两个用于联系人的电子邮…

随着端午小长假的临近，上网人数增加，这段时间的挂马网站和木马病毒都有肆虐的趋势。5月25日，瑞星“云安全”系统就从截获的挂马网站中，发现了一个冒充杀毒软件、企图骗取钱财的广告软件病毒，并命名为“WINPC 广告病毒（Adware.Win32.Agent.Dbj）”。侵入电脑后，病毒会拦截用户访问的网页，无论网页是否为挂马网站，都会提示用户当前浏览的页面为危险，诱导用户购买所谓的“WinPC Defender”软件。目前国内仅有少数用户感染，但感染人数可能增加。 从对该病毒的技术分析来看，软件界面和病毒提醒全是英文，支付渠道也是国外用户常用的，所以推测可能是国外黑客编写来骗钱的恶意广告软件，主要面对国外用户。针对该病毒，瑞星软件21.39.62版本已经可以防御和彻底查杀。 瑞星安全专家介绍说，每逢节假日期间，都是挂马网站和病毒的高发期。黑客会利用与节日有关的各种信息来传播病毒。这次的“假杀毒软件”病毒，就利用人们假日期间对于病毒防范的意识不强进行诈骗，而且已有国内用户中招。 根据瑞星“云安全”系统的监测数据，从5月中开始，一些大型的视频网站、博客网站和购物网站被挂马的情况开始增加。节日期间，大量网民会选择上网下载电影或收看在线视频、上网购物或玩儿网络游戏，黑客有可能利用端午小长假对用户进行挂马攻击。专家提醒网民应采取举措进行预防： 第一，端午小长假期间，黑客可能会利用节日有关的信息（如：纪念屈原、粽子、龙舟）进行攻击。2008年端午节，就有病毒发送垃圾信息：“脱去你的外衣，你是那样白嫩，发着淡淡的幽香，粽子我的至爱!”下面会给一个…

任务详情 　　以静态分析为基础，对相应代码进行初步动态分析，要求体现出： 　　　　1.静态分析确定的线索 　　　　2.动态分析对上述线索的验证分析过程 　　　　3.动态分析的结论 　　　　4.动态分析中尚不能确定，有待进一步分析的内容 　　　　A&2组：lab01-01.exe 　　　　3&4组：lab07-03.exe 　　　　5&6组：lab01-02.exe 　　　　7&8组：lab07-01.exe 　　　　9&10组：lab03-04.exe 　　　　J&Q组：lab09-01.exe 　　　　K&小王、大王组：lab03-03.exe 1.静态分析确定的线索 （1）用stud_PE查看该程序的API函数： 可以看到CreateServiceA和InternetOpenA最具有代表性，从这儿我可以了解到这个病毒需要创建一个服务以及联网使用的一些信息。 （2）然后我用strings工具分析看到出现一个网站：www.malwareanalysisbook.com ,并且能够看到IE8.0 至此我猜测：这个病毒的作用可能是创建一个可以联网的服务访问到这个网站，同时获得某些文件夹的属性去执行病毒的功能，比如从这个网站获取 某些文件，实现互联。 2.动态分析对上述线索的验证分析过程 （1）打开Process Explorer和Process Monitor，然后再执行Lab01-02.exe这个程序 （2）根据Lab01-02.exe的PID 784然后在P…

根据三月所观察与收集到的数据，金山毒霸反病毒工程师对4月份的安全形式做出以下估计与提示： 提防木马下载器的再度爆发 整个3月份，病毒团伙的精力都放在制造网页挂马上，猫癣、死牛等传统的木马下载器几乎停止了更新。但是，随着各厂家对网页挂马的严打，病毒作者是否会进行“战略转移”，重新投入研究更强大的木马下载器呢？ 金山毒霸云安全系统监测到一些奇怪的举动，比如某些脚本下载器的下载列表里，频繁出现一些新下载器的身影，每个版本变种的对抗功能都较上一个变种略有提高，可是它们的挂马范围却明显被故意局限在一些小网站，看上去是不是很像正规软件的公测？ 反病毒工程师认为，这是病毒团伙的一种试验，也许，某种威力更大的下载器即将“横空出世”。 继续关注网页挂马 网页挂马依然会是最受欢迎的木马传播手段。在四月，特别需要注意一些大型的挂马集团在网页下设置的陷阱。从“网盾”的拦截数据推测，黑客（挂马集团）的目标仍会放在学校、政府机构、门户等网站上。他们似乎是派有专人实时嗅探这些网站的漏洞，一旦有机可趁，就立即将木马挂上去。 除了这些传统“猎物”，黑客也开始将魔爪伸向了一些公益组织，比如献血站、慈善基金会、环保组织的网站，将访客们的善良当成他们实施作案的工具，非常可恶。 而为了躲避杀软厂商的跟踪，黑客会更加频繁的更换用于存放病毒的服务器，域名也是变化多端，不过金山毒霸也会相应的加强对他们的追踪，让这些见不得光的东西无处遁逃。 病毒团伙的挣扎将更加激烈 通过对3月份捕获的病毒进行分析发现，病毒作者开始把对抗重点放在了一些安全辅助软件的身上，这些安全辅助…

使用过路由交换机的用户可能都遇到过很多安全方面的问题，同时也反映出目前的路由技术有待完善。网络安全不再单纯依赖单一设备和单一技术来实现已成为业界共识。路由交换机作为网络骨干设备，自然也肩负着构筑网络安全防线的重任。 围绕路由交换机的安全问题进行了用户调查，在收到的大量读者反馈中，我们进行了统计和分析：70%的用户曾经遭受过Slammer、“冲击波”等蠕虫病毒的袭击，这些蠕虫病毒攻击的直接目标通常是PC机和服务器，但是攻击是通过网络进行的，因此当这些蠕虫病毒大规模爆发时，交换机、路由器会首先受到牵连。抽样分析表明：近50%的用户反映Slammer、冲击波等蠕虫病毒冲击了路由交换机，36%的用户的路由器受到冲击。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。 蠕虫病毒攻击网络设备 蠕虫病毒发作导致网络吞吐效率下降、变慢。如果网络中存在瓶颈，就会导致网络停顿甚至瘫痪。这些瓶颈可能是线路带宽，也可能是路由器、交换机的处理能力或者内存资源。需要指出的是，网络中的路由器、交换机已经达到或接近线速，内网带宽往往不收敛，在这种情况下，病毒攻击产生的流量对局域网内部带宽不会造成致命堵塞，但位于网络出口位置的路由器和位于网络核心位置的三层交换机却要吞吐绝大多数的流量，因而首当其冲地受到蠕虫病毒的攻击。接入层交换机通常需要与用户终端直接连接，一旦用户终端感染蠕虫病毒，病毒发作就会严重消耗带宽和交换机资源，造成网络瘫痪，这一现象早已屡见不鲜。 蠕虫病毒对网络设备的冲击形式主要有两种：一是堵塞带宽，导致服务…

金山云安全中心近日在国内率先截获了一个针对计算机程序员、尤其是Delphi使用者的病毒“Delphi梦魇”（Win32.Induc.b.820224 ），简单描述该毒行为，就是：它专门感染Delphi程序员的电脑，一旦成功，程序员今后写出的任何程序，都将带有该毒！ 噩梦的成长过程 当随着被感染文件进入电脑系统，“Delphi梦魇”就开始检验系统中是否有Delphi环境。它通过循环检测注册表键值的方法查找dephi的安装目录，如果找到dephi这个冤大头，就将恶意代码前排插入SysConst.pas文件，这个文件编译的时候，会生成SysConst.dcu，而这个文件会被添加到每个新的dephi工程中。 于是，程序员们所编写的程序就全部带毒了，一个个隐秘的“病毒兵工厂”就这样诞生， 更可怕的是，通过对受感染文件的分析，金山毒霸反病毒工程师发现，该毒在全球网络中已经传播了多月，目前已知受感染最早的系统，在2008年的年末就已中招。 而根据金山毒霸云安全系统的监测，目前已有多家知名软件厂商的产品感染了该毒，所影响的用户数量庞大，甚至难以在短时间内统计得出。 http://blog.duba.net/attachment/1250759587_4486e870.png 不幸中的万幸 虽然已有大量的Delphi程序员和软件产品中招，但通过对“Delphi梦魇”（Win32.Induc.b.820224 ）代码的分析，金山毒霸反病毒工程师发现，该毒作者的用意似乎并不在破坏，只是静默地实现感染，不断传播代码的主体。…

0x00 前言 　　作为一个运维工程师，而非一个专业的病毒分析工程师，遇到了比较复杂的病毒怎么办？别怕，虽然对二进制不熟，但是依靠系统运维的经验，我们可以用自己的方式来解决它。 0x01 感染现象 1、向大量远程IP的445端口发送请求 2、使用各种杀毒软件查杀无果，虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件，但即使删除NerworkDistribution后，每次重启又会再次生成。 在查询了大量资料后，找到了一篇在2018年2月有关该病毒的报告： NrsMiner：一个构造精密的挖矿僵尸网络 https://www.freebuf.com/articles/system/162874.html 根据文章提示，主控模块作为服务“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但在用户的计算机并未找到该服务。 文章报道已然过去了一年多，这个病毒似乎是升级啦，于是有了如下排查过程。 0x02 事件分析 A、网络链接 通过现象，找到对外发送请求的进程ID：4960 B、进程分析 进一步通过进程ID找到相关联的进程，父进程为1464 找到进程ID为1464的服务项，逐一排查，我们发现服务项RemoteUPnPService存在异常。 C、删除服务 选择可疑服务项，右键属性，停止服务，启动类型：禁止。 停止并禁用服务，再清除NerworkDistribution目录后，重启计算机。异常请…

如何有效检测挖矿行为？ 下一代防火墙AF结合AI+规则库快速识别隐患 （1） 针对办公网或者生产网中存在的挖矿安全隐患 在互联网边界侧以旁路或串联的方式部署深信服下一代防火墙AF，通过AF本地具备的130万僵尸网络特征库，结合深信服云端威胁情报，以恶意URL和C&C IP地址对比的方式来监测失陷主机的非法外联行为。 （2）对于无法识别潜在的挖矿外联行为 通过深信服下一代防火墙AF云端NTA检测引擎，结合AI技术与规则的闭环迭代技术，不仅能检测出不可读的随机字符构成的域名，还能检测出使用单词拼接方式仿造正常域名的恶意域名，快速识别异常外联流量，定位组织网络中的挖矿主机。 安全感知管理平台SIP内置挖矿专项检测模块 用户还可以选择通过镜像交换机流量到深信服流量探针，并传输至SIP平台进行分析。 深信服安全感知管理平台SIP内置了“挖矿专项检测”模块，通过「挖矿阶段图」、「受害资产」、「受害资产攻击数Top5」3个维度，将挖矿影响展现出来，用户可以清晰定位资产的受影响情况（受影响的资产数量、类别、所处阶段、攻击程度等）。 对于加密挖矿的场景，通过UEBA算法模型，发现用户、机器和其他实体在用户网络上的异常和危险行为，并确定此行为是否具有安全隐患，从而定位网络中的挖矿行为，帮助用户实现简单有效运营。 此外，还可以将AF和SIP接入深信服安全运营中心，安全专家可以进一步对检测到的异常外连行为进行多元分析，利用云端大数据分析平台和威胁狩猎平台，精准定位挖矿主机，同时为用户提供7*24小时挖矿行为持续监测服务。 检测到…