作者丨黑蛋

一、基本信息

文件名稱
880753802c3e6f4b5269062d4e76200c66e3a71e2118702e24d2b32c19dddfd2
文件類型(Magic)
PE32?executable (GUI)?Intel?80386,?for?MS?Windows
文件大小
479.50KB
SHA256
880753802c3e6f4b5269062d4e76200c66e3a71e2118702e24d2b32c19dddfd2
SHA1
0c9dec73697f74a8657e538eef8016a515e6cbc0
MD5
94861ecbc2fd8043fa5bd69d004cfe59
CRC32
21277D6C
SSDEEP
12288:+xckcFwY9rXkEzmMH+rffHD7bUiR1bW4OhsHKawSwFoUiXPlEw2VfRtkO:hbTXkEzmMH+rffHDXUQbW4OhsHKawSwc
ImpHash
4e0669a977cfb6f0ea058755d10088e7

二、環(huán)境準(zhǔn)備

系統(tǒng)版本

Win7x86Sp1

三、行為分析

首先在沙箱里走一下

添加火絨劍信任區(qū)，用火絨劍監(jiān)控打開:

可以看到這里主要是在C:\Windows\System32下生成一個javasc.exe，然后在C:\Windows下生成一個avb.exe

之后也有大量的注冊表設(shè)置，里面看到了對文件屬性隱藏的設(shè)置

四、靜態(tài)分析

直接甩IDA里面看一下

這里是CreateFrom，隨后進(jìn)入消息循環(huán)，在CreateFrom的時候進(jìn)入From函數(shù)

跟一下這個地址就可以找到響應(yīng)的五個函數(shù)

首先分析第一個FormCreate。

4.1、FormCreate

進(jìn)入sub_44F3A0:

返回繼續(xù)向下看

把javasc注冊為服務(wù)，加入自啟動，隨后如果是正常退出，就繼續(xù)進(jìn)入循環(huán)響應(yīng)。這里流程不是很清楚，可以結(jié)合流程圖看，但主體功能就是拷貝新的病毒，設(shè)置注冊表隱藏文件不可見，加入自啟動。

4.2、Timer1Timer

進(jìn)入主體函數(shù)

首先進(jìn)入44E9FC：

再到44E980

這里是判斷磁盤是否存在，之后退出函數(shù)進(jìn)入磁盤類型判斷：

退出這個函數(shù)，進(jìn)入44EEBC函數(shù)：

主體倆個函數(shù)，進(jìn)入第一個，主要是文件的遍歷:

進(jìn)入第二個函數(shù)：

主要是設(shè)置文件屬性，隨后進(jìn)行了一個對自身的拷貝。

4.3、Timer2Timer

這里同樣是遍歷文件，獲取盤符，判斷日期是不是1號，10號，21號，29號，是的話刪除文件，進(jìn)入44F078看看：

4.4、Timer3Timer

這里是注冊表的一些操作，設(shè)置隱藏文件不可見。

4.5、Timer4Timer

這里是釋放資源生成nasm.exe，然后啟動。

五、總結(jié)

這個病毒是delphi寫的，總體功能就是釋放各種病毒子體，加入自啟動，設(shè)置文件隱藏，設(shè)置隱藏文件不可見，判斷日期之后對文件進(jìn)行一個刪除操作。釋放資源病毒，由于在我虛擬機(jī)沒體現(xiàn)出這些行為，也就沒有分析。同時在我物理機(jī)不小心運行了一下，結(jié)果F盤文件被隱藏了，然后替換成同名exe：