一、病毒信息

病毒名稱：骷髏病毒
文件名稱：
d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827
文件格式：
EXEx86
文件類型(Magic)：
PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
文件大小：
66.50KB
SHA256：
d5dac2456fa6758480e946aa6a1597399bf0b9e7df1383c7ba568559b969a827
SHA1：
c660516ceb64fb9373b297973f962398ee6d1879
MD5：
77031bafa4c641c28ab9f624a15766b0
CRC32：
79C2B4D8
SSDEEP：
768:CGBwjSgvnyXXQkZuzQEN8Fs+U5MV4nb42sWAw/CQd07d21a1XWCIqrY+9GbRa:PBzgvnyXgkwg0sl5Qd07k1sXvr
TLSH：
T1D0635C1BAD45D0A1E00600389519FAFF66A76C71C51EAA53FB80FD827CB8587F8B9D07
AuthentiHash：
4A58C42F188D69E5EC03A22F02C0C9AB8D6B8D0B39C01DD7CA05DD97074509A2
peHashNG：
15fe9808e4c7996169d2f7d72ab94995e16510faac3b23d090f9c6ccbcceaa0f
RichHash：
c5755a1d31fa664aef391971dfc1145d
impfuzzy：
24:MEpZQCB8u1wX1siuLVuLQjuyPq0jcfLGDQj1E5T0v+GO9CJI/qkbJnBevrzvoLWZ:prwX1Euljix02G+CJI/q0JBevrzri+
ImpHash：
ccbcdba127c40ad07597791950e62759
ICON SHA256：
ffac9d7025d1e7d091fc5449da7401928cff13c3083719ca38b4518042608ef9
ICON DHash：
336171172d330c0d
Tags：
exe,section_name_exception,lang_chinese

二、環(huán)境準(zhǔn)備

系統(tǒng)

殺毒軟件

調(diào)試器

Win7x86

火絨劍

IDA，OD

三、脫殼

樣本拖到PEID中，可以看到是有UXP殼：

首先脫殼，樣本拖入OD：

Ctrl+F，取消整個(gè)塊，查找popad，并下斷點(diǎn)：

F9運(yùn)行，卡在斷點(diǎn)這里，然后走過(guò)下面一個(gè)JMP，到了OEP

然后右鍵dump，保存為1.exe：

把1.exe拖進(jìn)PEID：

脫殼成功。

四、行為分析

首先我們需要將病毒樣本加入火絨軟件信任區(qū)，讓火絨不要干擾病毒程序運(yùn)行，接下來(lái)打開(kāi)火絨劍：

點(diǎn)擊開(kāi)始監(jiān)控，然后雙擊運(yùn)行骷髏病毒，首先可以看到骷髏病毒本體已經(jīng)不見(jiàn)：

接下來(lái)進(jìn)行過(guò)濾：

在這里我們可以詳細(xì)的看到骷髏病毒的所有行為，簡(jiǎn)單的根據(jù)動(dòng)作過(guò)濾來(lái)看一下病毒行為：

可以看到這里是創(chuàng)建了一個(gè)新的EXE，最后通過(guò)cmd刪除本體。

這里有一些對(duì)注冊(cè)表項(xiàng)的修改寫(xiě)入等行為。詳細(xì)行為都可以根據(jù)火絨劍進(jìn)行分類查詢。這里大致可以看出是在C:\Windows下生成另一個(gè)文件，然后對(duì)自身進(jìn)行刪除。

五、靜態(tài)分析

把脫殼后的1.exe拖入Ida，找到WInMain，F(xiàn)5：

這是主函數(shù),相應(yīng)注釋都在上面:

然后進(jìn)入sub_405A52(),就是簡(jiǎn)單判斷自己創(chuàng)建服務(wù)是否已經(jīng)被創(chuàng)建，服務(wù)名稱是15654656:

如果服務(wù)沒(méi)有被創(chuàng)建，進(jìn)入函數(shù)sub_405B6E():

首先是獲取許多函數(shù)地址，然后對(duì)比了文件目錄，通過(guò)sub_406C30獲取系統(tǒng)時(shí)間隨機(jī)生成字符，產(chǎn)生隨機(jī)名稱，下面是sub_406C30函數(shù)：

回到上一層，繼續(xù)往下看，生成隨機(jī)名稱，拷貝自身在Windows目錄下：

接下來(lái)就是對(duì)服務(wù)的創(chuàng)建啟動(dòng)等操作：

最后來(lái)到sub_40355B:

跟進(jìn)去，可以看到這是一個(gè)刪除文件函數(shù)，根據(jù)之前的行為分析，這塊就是對(duì)自己進(jìn)行刪除操作的函數(shù)：

這個(gè)病毒功能應(yīng)該還有啟動(dòng)一項(xiàng)服務(wù)，然后會(huì)搞事情，但是在我環(huán)境中沒(méi)有搞起來(lái)，只實(shí)現(xiàn)了對(duì)自身文件的拷貝，以及最后的自我刪除。