最近遇见了Sality的一个变种，也拿过来分析了一下，大家有很多人想要下样本的，给大家推荐一个网站：https://bazaar.abuse.ch/browse/ 很多样本都是从这里下载的分析的，很棒

ret回到执行的位置

动态获取LoadLibrary和GetProcAddress的函数地址

运行一个外部程序

直接proceess监控一下

发现病毒获取了如上函数地址后会将又一段隐藏代码释放到0x640000处并运行，是UPX加壳

主函数分析：

SetErrorMode，SEM_NOGPFAULTERRORBOX｜SEM_NOOPENFILEERRORBOX 主要让系统不显示Windows错误报告对话框，当无法找到文件时不弹出错误对话框， 相反，错误返回给调用进程

修改注册表，防止显示隐藏的文件

修改安全中心的提示

记录：

开始新的一轮修改循环，/Svc连接到路径后面

修改设置IE浏览器脱机

当程序尝试安装软件或对计算机进行更改时，Windows不会通知用户，通过EnableLUA

关闭windows的消息管理通知，关闭windows自带的防火墙

想要创建的驱动

创建互斥信号量

会释放一个.sys驱动文件，并将其注册成一个服务，实现开机自启动（文件路径C:\Windows\system32\drivers\mukhpm.sys）

保留所有安全模式设置的位置是HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot注册表项，删除此注册表项将阻止您启动到安全模式

创建驱动（64位的机器在SysWow64下），让我们无法访问杀软有关的页面

结束我们的杀软进程

反病毒的列表：

主要的感染模块将普通文件，杀毒软件，系统文件，U盘进行感染

如果包含daemon以及系统保护文件不会感染，文件大小在512和41943010全部进行感染

创建执行完会把exe删除

C盘下创建inf文件

检索创建或上次访问和最后修改的文件或目录的日期和时间

自动运行程序，可指向病毒，使用工具将其免疫

获取一个ip

比较字节是否为http，之后跳转

将ip写入临时文件winwfcm.exe

打开链接

链接成功创建文件

好像网站死了，导致执行不到这里

删除TEMP目录下的.exe和.rar格式的文件

检测hHandle事件的信号状态

病毒会进行P2P式的后门通信

后门通信

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！