以前做病毒分析时整理的一个比较简单的报告模板,仅参考:
#
# by:∮明天去要饭
# http://yaofan.me
#
+——————————————————–+
+ 样本个数: x 个 +
+ 提交日期: 200X-XX-XX +
+ 样本提交: XXX +
+——————————————————–+
1. 目录
+ 文件夹
├ xxx1.exe <—– xxx1的说明
├ xxx2.exe <—– xxx2的说明
2. 详细内容
+——————————————————–+
+ 样本编号: 2.1 +
+ 样本名称: xxx.exe +
+ 样本大小: xxx 字节 +
+ 样本MD5 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx +
+——————————————————–+
1. 进程
创建(隐藏)进程:
%SYSTEMROOT%\system32\xxx.exe user
2. 文件行为
释放如下文件:
%SYSTEMROOT%\system32\xxxadd1.exe
%SYSTEMROOT%\system32\xxxadd2.exe
删除如下文件:
%SYSTEMROOT%\system32\xxxdel1.exe
%SYSTEMROOT%\system32\xxxdel2.exe
感染如下文件:
%SYSTEMROOT%\system32\xxxappend1.exe
%SYSTEMROOT%\system32\xxxappend2.exe
3. 网络行为
3.1 解析域名
www.xxx.com —–> xxx.xxx.xxx.xxx
3.2 数据交互
访问如下链接:
http://www.xxx.com/xxx.exe
4. 启动方式4.1 系统服务
显示名称: xxx
服 务 名: xxx
服务描述: xxx
文件路径: %SYSTEMROOT%\system32\xxx.exe
启动类型: 自动
4.2 注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下项/键:
项/键名: xxx
路径: %SYSTEMROOT%\system32\xxxadd1.exe
5. 自我保护
5.1 注入到xxx进程
5.2 自动关闭xxx杀毒软件或防火墙
6. 总结
该样本是/不是恶意软件.