特点:释放了13个文件,普遍都很小只有几百kb
释放隐藏文件1个
自我复制 1个
设置了自启动
查壳.
1、病毒来自水坑攻击,文档投毒或U盘感染.
2、病毒行为:
反检测技术:检查SCSI接口磁盘的ID,可能被恶意程序用于检测是否运行在虚拟环境中.
通过检查注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Disk\Enum\
虚拟机下会有 QEMU,vbox,vmware,virtualhd等字样.
反逆向工程:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求
设置注册表实现自启动:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\34286
加载模块资源并rsa解密出pe文件
通过在svchost.exe注射代码,来实现通信.
通过判断计算机语言来执行一些操作.
3、病毒获取信息:
查询系统用户名:GetUserNameW
获取系统信息:GetSystemInfo
查询计算机名:GetComputerNameW
C:\Windows\win.ini
具体的信息都在44FF2421BBD7918C6AD68DA4FA276E02.exe.idb 文件中了,这个apt有些复杂,其中有许多地方还是有些不明白.
希望和朋友们多多交流,文件我全部打包上传了,可以留言一起研究