这个病毒是偶然逛论坛发现的，其实病毒本身原理是比较简单的，也比较有趣，所以简单分析学习了一下。
病毒样本及分析报告：链接

1、文件加密

2、显示提示

3、弹出解密软件界面（注明：这个程序在关闭后会马上打开）

进程树我没有截取完，但是该程序创建了许多进程，其中以cmd.exe 和PING.exe为主，通过进程树可以得到以下信息：
1、样本会调用系统命令实现指定功能


2、样本会创建其他文件并且执行
3、样本会非法修改文件属性

根据上面的初步分析，大致可以得出这个样本许多功能可能是由bat 文件实现的，当然这只是猜测，具体的还要分析两个bat 文件。我这里先对样本文件本身进行分析，根据上面的分析，样本文件至少具有文件创建、文件写入、进程创建这些功能，当然还是具体分析一下

样本被加MPRESS v2.12的壳，这个壳比较简单，可以使用ESP定律法脱掉，这里就不描述了

OD打开脱壳后的样本（FRS.exe）进行调试

创建PNG文件并写入数据

创建可执行文件并写入数据

OD加载FRS_Decryptor.exe

通过上述对exe 文件的简单分析，暂时没发现其他的什么功能（这里只是简单分析了一下，对于里面可能涉及的算法或其他功能没做分析）

分析bat 文件

由上述描述大致可以知道，样本会创建两个关键bat 文件，一个大小为2.60KB，另一个为7.48KB（注明：这些文件在创建的时候，名称是随机生成的，所以每次名称可能会不一样）

bat 文件1：

该bat 文件内命令主要分为4个部分

bat 文件2：

这个文件主要就是解密的界面和解密方式，即以下界面：



然后这个文件里面有两个比较有意思的地方，第一个是在免费解密的那个页面，阅读命令会发现那里其实存在解密的命令的，当然，熟悉Windows 批处理的大佬通过前面的加密原理，也就不难解密了。

第二个有意思的地方是里面写了用于解密的密钥

总结：这个病毒分析感觉难度不大，适合像我这种萌新，而且盲猜应该是用于“娱乐”使用吧。

OD打开脱壳后的样本（FRS.exe）进行调试

OD加载FRS_Decryptor.exe

分析bat 文件

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课