http://ift.tt/2Erx4OJ [TOC] 0x0 样本信息&分析平台 1 样本信息 病毒名:spo0lsv.exe 大小: 30001 bytes 壳信息:FSG v2.0 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 2 分析平台&使用工具 win7 x86 od IDA 0x1 主要病毒行为 更改可执行文件图标,内容等信息 强制关闭杀毒、任务管理器等软件 设置开机自启病毒 设置用户点击磁盘启动病毒 更改html,php等网络文件 0x2 脱壳 脱壳 首先通过PEID可以发现这个区段是不对的,通过查壳工具发现这个壳是FSG 2.0,这个壳是非常好脱的 病毒在0x004001D1 这个位置进行了IAT修复 0x0041012C是IAT表的地址,通过观察内存分布可以看出,这个壳把本来IAT中全0结束改为0x7FFFFFFF结束,这样ImportRec在修复的时候就遍历不到其他的导入表了,因此修改成了全0结尾 ImportRec 无法识别netapi.dll, 需要手动修复,或者使用x32dbg 修复 0x3 病毒分析 1 把自身拷贝到系统文件 在所有盘创建一个ini文件夹 写入一些自启的字符串 字符串的作用是使得打开改盘就自动运行病毒文件 更改这个文件属性为:只读,隐藏,并且为操作系统专用 更改exe文件属性, 更改XX:\setup.exe 为只读,隐藏属性,并且为操作系统专用 获取系统目录 2 添加注册表,设置开机自启 设置病毒开机自启 并且通过设置注册表中 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 的值,强制设置不显示隐藏文件 3 删除共享磁盘文件 cmd.exe /c net share A$ /del /y cmd.exe /c net share admin$ /del /y cmd.exe /c net share ...