作者丨黑蛋

一、病毒簡(jiǎn)介

SHA256:
de2a83f256ef821a5e9a806254bf77e4508eb5137c70ee55ec94695029f80e45
MD5:
6e4b0a001c493f0fcf8c5e9020958f38
SHA1:
bea213f1c932455aee8ff6fde346b1d1960d57ff
云沙箱檢測(cè)：

二、環(huán)境準(zhǔn)備

系統(tǒng)

Win7x86Sp1

三、行為監(jiān)控

打開(kāi)火絨劍，打開(kāi)樣本：

可以看到這里釋放了部分隱藏文件，以及進(jìn)行了網(wǎng)絡(luò)鏈接，但是網(wǎng)站關(guān)閉了，沒(méi)有成功：

其次就是入侵了explorer.exe。最后進(jìn)行自我刪除。

四、調(diào)試分析

由于其中有很多需要解密部分，所以這次動(dòng)靜結(jié)合分析。首先在IDA中，打開(kāi)start函數(shù)：

這里有IsProcessorFeaturePresent反調(diào)試，直接用OD插件過(guò)掉：

一直走下去，函數(shù)sub_402A10是關(guān)鍵函數(shù)

前面是設(shè)置窗口屬性，對(duì)部分殺軟進(jìn)行遍歷強(qiáng)殺：

跟進(jìn)sub_402190：

繼續(xù)向下走：

繼續(xù)拼接路徑：

接下來(lái)是解密網(wǎng)址：

然后進(jìn)行文件下載，設(shè)置文件屬性，隨后又是一堆路徑的拷貝：

隨后又是網(wǎng)址解密，下載文件，設(shè)置屬性：

繼續(xù)走，走過(guò)一大堆函數(shù)后，來(lái)到標(biāo)記函數(shù)：

進(jìn)去：

這里是創(chuàng)建了一個(gè)文件，并進(jìn)行一個(gè)注入操作

注意這里這個(gè)函數(shù)：

這里設(shè)置了dll創(chuàng)建時(shí)間=C:\Windows\notepad.exe創(chuàng)建時(shí)間。
在最后，啟動(dòng)了cmd，ping了127.0.0.1并進(jìn)行刪除操作：

隨后看看釋放的dll，進(jìn)入主函數(shù)：

第一個(gè)函數(shù)是獲取系統(tǒng)時(shí)間，著重看第二個(gè)函數(shù)：

進(jìn)入標(biāo)記函數(shù)，他創(chuàng)建了一個(gè)線程，跟進(jìn)回調(diào)函數(shù)：

解密了一個(gè)網(wǎng)站，進(jìn)行了訪問(wèn)：

函數(shù)1188簡(jiǎn)單的追了一下，猜測(cè)是根據(jù)服務(wù)器返回信息進(jìn)行不同操作

這幾個(gè)函數(shù)沒(méi)有看出是干啥的?？傮w思路就這樣。