通过静态分析调式,进一步分析病毒的一些特征行为。样本中病毒释放后,病毒体为spo0lsv.exe文件,因此需要对此病毒做壳的侦查及脱壳工作(略过)。通过IDA静态分析工具分析脱壳后的spo0lsv.exe样本,如下图所示:
 |
通过观察“strings”窗口,可以初步分析样本的一些情况。如可以看出样本是用Delphi语言编写的等等。通过观察“Imports”窗口中的API函数,可以看到系统调过了一些网络行为的API函数,如InternetOpenUrlA、InternetOpenA、URLDownloadToFileA等函数。结合反汇编代码分析,可以看出病毒会关闭的杀毒软件有VirusScan、NOD32、Symanter AntiVirus、Duba、System Safety Monitor、Wrapped gift Killer、游戏木马检测大师、超级巡警、IcdSword等等。病毒会删除系统的共享文件:
cmd.exe /c net share
$ /del /y
cmd.exe /c net share admin$ /del /y
遍历盘符在各分区和移动存储介质中释放隐藏病毒文件和autorun.inf,使用Windows自动播放功能来传播病毒;以批处理的形式将病毒原文件删除。
◆通过动态分析调式,使用OllyDBG工具进行调式,进一步分析样本的操作行为。通过跟踪调式,发现样本可以使用API函数URLDownloadToFileA将其他病毒程序下载到本地并运行,样本中带有下载病毒文件的地址,但在程序中没有激活,所以没有真正下载的动作。本病毒包含原来的熊猫烧香病毒的特征以及金猪报喜的特征。
 |
最后要把分析过程中的结果形成相关的恶意代码分析报告,收集恶意代码的样本、释放的文件、以及网络行为的数据包,并对恶意代码进行命名规范,而且还需要对样本使用MD5进行完整性校验。
本文主要说明恶意代码及其相关的分析研究流程,至于通过逆向工具具体分析恶意代码的操作实验步骤,叶子将在以后的文章中做进一步的介绍。
1769
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
