一、病毒簡述

之前分析了一下，分析的較為簡單，這次又詳細分析了一下。
文件名稱
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
文件格式
RAR
文件類型(Magic)
RAR archive data, v5
文件大小
157.74KB
SHA256
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
SHA1
1c251974b2e6f110d96af5b23ad036954ba15e4e
MD5
c1c9624b21f71e4565b941a37db3815a
CRC32
59832D3D
SSDEEP
3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha
TLSH
T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92
Tags
rar,contains_pe

二、環(huán)境準備

系統(tǒng)版本

Win7x86

三、行為分析

打開火絨劍監(jiān)控：

可以看到這里創(chuàng)建了文件夾，文件夾中創(chuàng)建了三個文件。最后有設置了注冊表自啟動，并退出當前進行，啟動了拷貝入新目錄的進程。

之后就是很多的網絡鏈接。

這里又對文件進行了創(chuàng)建寫入移動等操作，然后一直有網絡鏈接的操作。

四、靜態(tài)分析

1、病毒本體

病毒本體拖入Ida，打開start，F5

可以看到這里很純潔，加載了wsc.dll，并調用run函數，我們繼續(xù)調試wsc.dll中run函數。

2、wsc.dll

跟進run函數，到達后到最下面：

這里主要是一個LocalAlloc，申請了一段空間，然后進行for循環(huán)解密賦值，隨后進入100015D0函數。

這是函數VirtualProtect函數，修改了內存屬性，隨后開始調用這段Shellcode。我們動態(tài)附加病毒，跟進run函數，記錄LocalAlloc函數申請空間地址，等for循環(huán)結束之后，二進制復制拷出這段內存，在010Editor中進行保存為文件，拖到Ida中，可以發(fā)現是一個dll。

3.shellcode分析

跟進dllmain函數，到了這里：

通過進程參數，進行不同的函數功能，首先分析case1：

3.1、case1

進入sub_100090E0：
圖1：

圖2：

圖3：

可以看到這里是對exe，dll，dat三個文件在系統(tǒng)目錄中的一個拷貝過程。

之后在這里設置了程序自啟動，結合病毒行為分析，這里的createProcess函數是啟動了拷貝之后的exe，case1第二個函數是ExitProcess函數，這里很簡單很簡單，就到這里。

3.2、case2

第一個函數是創(chuàng)建互斥體，完事后面進行參數比較，首先看函數sub_10014580：

這里是設置了出冊表network/version為1，返回去。
函數sub_100090E0和case1中一樣，繼續(xù)看函數sub_100153A0：

先看第一個函數：

看addtoken：

可以看到這里是一個提權操作，接下來返回去看第二個函數：

這里有四個函數，第一個是找到傳入進程名，完事通過KillProcess函數殺掉。先看第一個函數：

退出來，返回上一層看第三個函數：

進入MyFileDeleandDir：

可以看到這里就是刪除文件，刪除目錄等操作。返回上層，看第四個函數sub_100119A0：

刪掉注冊表自啟動。
返回到case2，看函數sub_100019B0：

分析函數sub_100164D0：

簡單的創(chuàng)建一個窗口?？春瘮祍ub_100165A0：

這里是獲取消息并處理。DestroyWindow是銷毀窗口。最后看79行MySub_0,里面是創(chuàng)建了一個線程，跟進去回調：

這里簡單看了一下，都是網絡連接之類的和獲取本機信息的操作。

3.3、case3

這里是文件拷貝，查找窗口發(fā)送消息，打開了shell的操作。