前言
在第一次分析到这个病毒时候,绕了非常大一圈。
结合行为,扔进ida里分析。硬是没找到恶意操作和蠕虫这个传播自身的地方…
后来发现这个autoit原来是个脚本。
基本信息收集
查看编写信息、区段信息、导入表等
虽然区段显示了upx区段,但是并不需要管他。后续借助工具就可以很直观的看到逻辑代码。
windows下的一个脚本语言
动态分析
借助火绒剑工具观察行为。
- 行为总结:
- 在system32目录下创建多个随机名字的复制体
- Windows目录下创建文档
静态分析
这里需要借助一个逆向工具:Exe2Aut
将文件直接拖入
拖入之后其实已经非常清楚了,根据函数名就可以捋清逻辑
代码分析
对抗杀毒软件
- 检测、kill杀软进程、对抗杀软等操作
创建文件
- 创建随机名字文件、创建文档并启动。
- 这里就可以与前面我们分析的行为进行呼应了
传播实现(重要部分)
这里解释一下autorun.inf文件。顾名思义,autorun(自动执行)。该文件在双击磁盘或插入移动设备的时候会自动执行文件内写入的命令以达到传播自身的目的。
总结
到这里已经分析完成,利用autorun.inf文件传播自身也是很多蠕虫病毒常见行为。第一次分析的时候,也踩了很多坑(例如:第一次见到AutoIt写的软件、Autorun.inf文件作用、拿着ida狂看)。此篇对这些坑做了很多说明,分享经验同时也做个总结。