好久没分析病毒了，今天偶然中发现个病毒，以前也有大佬分析过，在这里我分享一下我的成果。

病毒名称：Update Required Case Enq No 192_2018.docx.com

MD5：8fdc51fa4c14267026810f8b70e61418

SHA1: 5b0899709b4f0c8a076d04ad72e1a87133615f2e

SHA256: 8dd9a89571cbeba93c5839f355e56389d104499f0232f063fba4e40408ca5d4b

环境：Windows 7 32位操作系统

查壳工具：PEID、ExeinfoPE

二进制：010Editor

调试工具：OD、IDApro

1.     查壳

这里我们可以看到Not packed，也就是没有壳。

2.     云沙箱分析

这里我们可以看到它添加了注册表项，实现了自启动；创建了一个文件夹，生成了一个可执行文件，并且创建了一个进程，这些信息都是我们详细分析的时候需要注意的。

我们将文件放入IDA中观察，可以看到下图所示。

从这里整体上来看，他是创建了一个窗口，并且显示/隐藏了它，病毒一般都是隐藏窗口啦，接着我们看第一个函数，也就是sub_401140，如下图所示。

这个一看就很明白，这个就是创建窗口的一些参数嘛！那个sub_4011D0不出意外的话就是窗口回调了，为了证实这一点，让我们进去看看，下图就是sub_4011D0函数的内部

从回调来看，他并没有执行什么恶意操作，让我们回到主函数，继续往下看。

这里也就是隐藏更新窗口的操作，所以我们把重点放在sub_401330这个函数上面，当进去以后我们会发现这个函数不简单，里面有很大一坨…让我们一点一点的分析吧，首先第一个关键点如下图所示

它在C盘创建了一个文件夹，让我们继续往后看，后面的代码静态分析会有点困难，所以在这里我教大家一个好方法，OD和IDA 双剑合并。

打开IDA创建一个map文件

接着打开OD的插件，加载map文件你就会发现一些函数已经被标好了名字如下图所示，这样我们看起来会轻松很多。

接下来，我发现了一个不好的一个现象，这个程序是有随机基址的，如下图所示。

这样会对我们分析造成一点的阻碍，所以这里我去掉了随机基址，熟悉PE文件的都知道，所以这里我修改了下图的位置。

在进入程序的时候我们就可以看到已经没有随机基址了。

下面我们开始IDA和OD配合进行分析，

在这里我们可以看到，它确实是隐藏了窗口。

还有作者的一些花指令

‘

我们可以找到刚才IDA静态分析的地方，让我们继续看下一个函数也就是sub_403B00这个函数，我们通过动态分析看到了下图注册表相关的东西

看到这个注册表我们就应该想到，他应该是有开机自启的功能，让我们继续往下看。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！