---恢復內容開始---

　　　　　　　　　　　　　病毒分析第二講,分析病毒的主要功能

經過昨天病毒分析第一講,得出一個被注入的DLL

開始分析DLL主要功能

PS: IDA中,DLL會有各種初始化的代碼,和釋放資源,所以不再看,只看重要的API

一丶行為分析(創建命名互斥體,防止病毒多開)

進入函數去看,從DLLmain入口點分析.

得出,第一步,病毒為了防止重復注入IE,創建命名互斥體.

名字是:  "KyUffThOkYwRRtgPP"

 

 二丶拼接字符串,創建文件,寫入系統當前時間

進入DLLmain第二個函數查看.

PS:分析到哪里都已經改名字了,原名字不是Init,這個是根據分析里面的函數調用的出來的.

點擊進入,查看具體怎么做了

 

 

 根據分析,可以分為四部分去看

1.初始化各種數據

2.經過一些列自己寫的算法運算

3.獲取磁盤和驅動器的信息,並且處理文件

4.寫入系統時間(需要跟隨大里面去看)

虛擬機動態調試查看.

第一次,通過動態分析,得出會拼接一個字符串,為

當前的: C:Documents and settings\Administrator\桌面\xxxx\dmiconf.data

 第二此分析,得出,在目錄下面創建這個文件

寫入的內容是時間

得出第二次行為:

創建文件dmlconf.dat在當前目錄,並且寫入文件內容為當前時間

三丶分析行為三,寫入注冊表,實現開機自啟動

繼續分析DLLmain下面的API

點擊API進去查看.

 

里面還有一層,進去查看.沒有命名的函數都是無關緊要的,這些都是實現命名過了.

進去一層則看到

1.打開注冊表

2.遍歷注冊表的值

3.修改注冊表的值

4.關閉注冊表

此時我們需要動態查看是進入是修改的那個注冊表了.

1.找到線程回調

2.線程回調進入下段點,並設置為新的EIP

設置的快捷鍵是 Ctrl + * 鍵

3.進入Call查看 

 

 4.查看注冊表操作

得出了要操作注冊表

HEEY_LOCAL_MACHINE Software\Microsoft\Windows NT\CurrentVersion\Winlogon

這個正好是開機啟動項

經過上面和下面的分析,得出先獲取注冊表的值,然后申請內存

寫入我們的內容

時間關系,不一步一不的跟了.

其實跟進去看的話她會設置自己的子體到里面,這樣就會開機自啟動了.

四丶網絡相關

 此病毒還涉及到網絡相關,但是現在這個病毒現在也鏈接不了服務器了.所以網絡相關的掠過

如果想明白原理,建議自己跟一下看下也可以.

五丶修改PE文件,修改Html

此功能昨天已經快速定位到了.

鑒於時間關系不一步一步的分析了.此次樣本分析完畢.

 

得出行為:

　　1.使用命名互斥體,防止多開

　　2.創建文件在dmlconf.dat在C盤目錄下,並寫入時間

　　3.寫入注冊表開機自動啟動

　　4.鏈接服務器,發送和接受數據

　　5.修改PE,以及html