搞了一个彩虹猫的病毒，运行了一下，还挺好玩的
执行效果：
第一次警告：
%20
第二次警告：

记事本显示提示信息：

大致意思是说你电脑完犊子了，快使用它把，也别杀死进程，不然系统会变的一团糟

之后就是一段鬼畜

像极了去蹦迪的我

最后系统蓝屏，重启后就是彩虹猫的图片

样本信息：

查壳：

无壳

这里我先使用ProcessMonitor查看一下程序会进行哪些操作
注：因为会运行程序，所以提前备份一下
进程树：

所以可以推测：
1、该样本会创建多个恶意进程
2、该样本会调用其他程序（notepad.exe）
对注册表的操作：
一、删除注册表值：

可以发现，程序去尝试删除浏览器的一些信任网点
3、该样本会删除浏览器信任网站
二、修改注册表的值

这里的字段具体功能不清楚，但看字面意思应该是对信任的网点的操作
三、创建注册表键

这里也是对信任网点的操作

对文件的操作：
一、创建文件：

这里样本程序创建了一些pf 文件，同时也调用了notepad.exe和chrome.exe

对进程的操作：
一、创建进程

程序创建了6个自身进程，而且还创建了notepad.exe, 这里应该是用于显示那段警告

总结：上述对样本进行了初步的行为分析，大致得出样本具有以下功能

使用IDA 加载程序，对样本程序进行静态分析
先查看一下字符串：

字符串里面存在大量的URL ，推测应该会对这些这些链接进行请求
其次这里面也存在一些程序名，比如notepad记事本，推测样本会对这些程序进行某种操作

最后这里面就是一些提示性的字符串，这里一些在样本执行后的弹窗或notepad 程序都有出现

查看函数，发现该样本程序的函数不是很多

便于分析，定位到入口函数，生成伪代码查看：


可以看出这里存在三处警告的提示字符串，在三次警告之后，使用watchdog 的方式创建了5次进程，对应上述的样本会见多个进程的功能。
完整的入口点的伪代码如下：

这里就只写一下入口点的分析，对于其他函数的分析就不贴出来了。
对样本进行了基本的静态分析，得出样本具有以下功能：

大致得出这么多，之后使用OD进行动态调试一下，配合IDA 看的稍微明显些
首先是进入入口点分析：

这里说明一下，当无参数启动时，部分语句不会执行，而使用watchdog 参数启动时，需要接受消息事件。

首先这里我调试两个功能：
1、主引导区的覆盖
2、创建多个线程

写入的数据：

样本会创建多个进程，并且这些线程会进入死循环，直到系统崩溃。这些线程具体实现了以下的功能：

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！