haneechaitanya/wormhunt-usb-shortcut-malware-analysis

# WormHunt 公开发布安全版发布包 本发布包包含了一份关于 USB 快捷方式恶意软件链的公开发布安全版防御案例研究。其旨在用于发布、同行评审、防御性学习以及应急响应参考。 ## 主要文档 - `report/WormHunt_Publication_Report_Final.docx` - 主发布报告，包含静态分析、动态分析、证据链、威胁指标 (IOCs) 以及分析发现。 - `report/WormHunt_Publication_Report_Final.md` - 发布报告的 Markdown 版本。 - `public_cleanup_guide/WormHunt_Public_Cleanup_Guide_Final.docx` - 面向普通读者的简易清理指南。 - `public_cleanup_guide/WormHunt_Public_Cleanup_Guide_Final.md` - 清理指南的 Markdown 版本。 ## 证据文件夹 - `figures/static/` - 静态分析截图。 - `figures/dynamic/` - 动态 VM 截图。 - `evidence/lab_usb/` - USB/实验环境处理文本证据。 - `evidence/static_code_excerpts/` - 公开发布安全版反编译/字符串摘录及摘录清单。 - `tables/iocs_sanitized.csv` - 通用威胁指标。 ## 安全声明 本发布包有意排除了活体恶意软件样本、可执行 payload、原始加密 payload blobs、原始 AES 密钥、原始 AES 初始化向量 (IVs)、Ghidra 项目数据库、虚拟机镜像、内存转储以及私有恶意软件归档。 所包含的代码证据文件是经过脱敏处理的摘录，仅用于支持防御性分析声明和文档记录。它们不足以用于重构或执行该恶意软件。 ## 分析方法论 静态和动态分析是由一名在 AI 辅助指导下学习恶意软件分析技术的医学研究员完成的。AI 辅助被用于帮助导航反编译代码、识别需要进一步审查的候选函数、建议验证步骤以及协助记录分析发现。报告中提出的所有结论均基于调查期间收集的工件，并已通过人工审查验证。 ## 术语 随机固定模式的恶意软件生成名称被泛化为 `u######`。已记录的 VM 运行产生了 `u634801` 作为一个观察到的示例；在不同运行或感染中，确切的数字可能会有所不同。 ## 使用说明 请使用 DOCX 报告作为主要的发布工件。清理指南专为非专业读者编写，并包含警告：读者需自行承担执行这些步骤的风险。

标签：DAST, DNS 反向解析, 云资产清单, 合规性检查, 威胁情报, 安全事件响应, 开发者工具, 恶意软件分析, 研究报告, 逆向工程, 防御加固