一、病毒簡介

這款木馬從惡意網(wǎng)址下載東西，然后修改本地文件；

SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07

MD5:56b2c3810dba2e939a8bb9fa36d3cf96

SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc

二、行為分析

首先看看微步云沙箱分析：

惡意服務(wù)器網(wǎng)址：[ddos.dnsnb8.net]

接下來看看火絨劍監(jiān)控結(jié)果：

這邊有大量的對本地文件修改；

最后是一個自刪除。

三、靜態(tài)分析

首先查殼：

通過x32dbg脫殼：

看到pushad，直接esp大法或者ctrl+f搜索popad，選擇第一個：

走到ret，進(jìn)入OEP脫殼：

注意一下OEP這里：

接下來拖到IDA中，根據(jù)之前OEP那里，找到關(guān)鍵位置：

進(jìn)入函數(shù)1371638：

這里是獲取臨時文件夾路徑，系統(tǒng)目錄以及當(dāng)前進(jìn)程路徑等，隨后進(jìn)入137139F，箭頭所指：

返回之后，繼續(xù)向下走：

進(jìn)入第一個箭頭所指：

這里是下載文件并啟動，進(jìn)入第二個箭頭：

函數(shù)sub_1371973：

那么這個函數(shù)就是拷貝自身到臨時路徑下，并讀取自身內(nèi)容，返回進(jìn)入線程回調(diào)函數(shù)：

這里獲取驅(qū)動器盤符類型，如果大于1不等于五，進(jìn)入開辟線程：

進(jìn)入回調(diào)函數(shù)，進(jìn)入sub_13728B8：

這里是篩選exe和rar后綴文件，進(jìn)入sub_137239D函數(shù)：

這里是對文件進(jìn)行寫入操作；這里就是遍歷目錄，篩選exe和rar后綴，對這類文件進(jìn)行寫入；

第三個箭頭就是刪除文件類操作。當(dāng)然這次沒有細(xì)致分析，大概知道病毒都是下載文件，然后遍歷目錄篩選后綴exe和rar的程序進(jìn)行寫入，因為是靜態(tài)分析，所以細(xì)致東西并沒有發(fā)現(xiàn)，下次會結(jié)合動態(tài)分析更加詳細(xì)的分析一次。