作者丨黑蛋

一、病毒简介

SHA256:
de2a83f256ef821a5e9a806254bf77e4508eb5137c70ee55ec94695029f80e45
MD5:
6e4b0a001c493f0fcf8c5e9020958f38
SHA1:
bea213f1c932455aee8ff6fde346b1d1960d57ff
云沙箱检测：

二、环境准备

系统

Win7x86Sp1

三、行为监控

打开火绒剑，打开样本：

可以看到这里释放了部分隐藏文件，以及进行了网络链接，但是网站关闭了，没有成功：
其次就是入侵了explorer.exe。最后进行自我删除。

四、调试分析

由于其中有很多需要解密部分，所以这次动静结合分析。首先在IDA中，打开start函数：

这里有IsProcessorFeaturePresent反调试，直接用OD插件过掉：
一直走下去，函数sub_402A10是关键函数

前面是设置窗口属性，对部分杀软进行遍历强杀：

跟进sub_402190：

继续向下走：

继续拼接路径：

接下来是解密网址：

然后进行文件下载，设置文件属性，随后又是一堆路径的拷贝：

随后又是网址解密，下载文件，设置属性：

继续走，走过一大堆函数后，来到标记函数：

进去：

这里是创建了一个文件，并进行一个注入操作

注意这里这个函数：

这里设置了dll创建时间=C:\Windows\notepad.exe创建时间。
在最后，启动了cmd，ping了127.0.0.1并进行删除操作：

随后看看释放的dll，进入主函数：

第一个函数是获取系统时间，着重看第二个函数：
进入标记函数，他创建了一个线程，跟进回调函数：

解密了一个网站，进行了访问：

函数1188简单的追了一下，猜测是根据服务器返回信息进行不同操作

这几个函数没有看出是干啥的。总体思路就这样。

病毒分析丨一款注入病毒相关推荐

病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)
病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法) 0x0病毒概况撒旦勒索病毒主要是针对企业服务器用户进行感染加密其服务器上的文件并勒索用户的一种病毒. 撒旦病毒通过大量漏洞利 ...
基于内存取证进行stuxnet 病毒分析（上）
基于内存取证进行stuxnet 病毒分析(上) stuxnet病毒翻译过来又叫震网病毒,是美国针对伊朗核电站进行的有组织开发的恶意病毒.主要是利用Windows操作系统未被发现的四个漏洞,可以通过U盘 ...
菜鸟的病毒分析5 pe感染文件感染病毒
pe文件感染病毒感觉好长时间没写了,这个pe结构着实让我很头痛,花了很长时间了解它.现在终于了解一点点了,下手分析一下win32简单的病毒.具体的有关于pe结构seh结构的问题去看雪上看看有很多的. ...
Sality病毒分析
Sality病毒分析基本信息 MD5:E100C2C3F93CABF695256362E7DE4443 样本来源:https://www.52pojie.cn/thread-537381-1-1.h ...
013 Android锁机病毒分析
文章目录免流服务器-锁机病毒分析秒抢红包-锁机病毒分析免流服务器-锁机病毒分析首先来分析这个免流服务器的锁机病毒,文件信息如下文件: 免流服务器.apk 大小: 799835 bytes 修 ...
一款勒索病毒的详细分析
原文出自看雪论坛:[原创]一款勒索病毒的详细分析-『软件逆向』-看雪安全论坛 0×01 程序信息大小:2,132,992 字节 MD5:671ec2f2b246113f65a0afd1c53c5c3 ...
android.troj.opfake.a病毒,FakeMsdMiner挖矿病毒分析报告
原标题:FakeMsdMiner挖矿病毒分析报告近日,亚信安全截获新型挖矿病毒FakeMsdMiner,该病毒利用永恒之蓝,永恒浪漫等NSA漏洞进行攻击传播.该病毒具有远控功能,可以获取系统敏感信息 ...
新型BlackEnergy(word宏）病毒分析
新型BlackEnergy(word宏)病毒分析前言 BlackEnergy木马介绍 BlackEnergy木马分析 BlackEnergy木马攻击还原攻击场景搭建木马行为分析总结目录 0X ...
更新箫心病毒分析专家2006 build 5.23(C＃2.0)
箫心病毒分析专家2006 build 5.23版介绍: 箫心病毒分析专家顾名思义,是一款帮助你查找本机电脑病毒,恶意脚本,***程序 ,各类***程序的一款完全免费的绿色经典软件. 1, 运 ...

病毒分析丨一款注入病毒