(看不懂IDA shellcode分析的看我之前的文章<<病毒分析之shellcode的分析方法>>)

MD5

查壳

无壳

该病毒包含一个exe,一个dll

基础静态分析

cmd.exe和command.com表明也许用到了shell进程

IsBadReadPtr用于验证一个进程是否对一块内存具有读取权限，这里看到了MapViewOfFile和UnMapViewOfFile表明程序用到了内存映射文件进行进程间通信。GetFileSize,CreateFileA,CopyFileA表明创建了一个文件。GetCommdandLineA读取了命令行参数控制程序的执行，GetModuleFileNameA读取了可执行文件的路径，可能用来安装病毒。


该病毒在C:\WINDOWS\System32\目录下安装了inet_epar32.dll，zzz69806582可能是个加密字符串，可能是命令的加密，net start cisvc启动了索引服务
下面来看下dll

GetActiveWindow用于获取最上层窗口的句柄，字符串“dddd,MMMM dd,yyyy"有加密特征，接着就是一些月份，我们不知道这些月份用来干嘛的
还有周一到周日

CreateMutexA创建互斥量，可能是为了在同一时刻只允许系统中运行一个病毒的实例CreateThread创建了一个新的线程，GetWindowTextA获取窗口的输入，GetForegroundWindow获取最上层的窗口，GetAsyncKeyState扫描键盘的状态，GetCommandLineA从命令行获取命令控制病毒的行为

这里和exe中看到了同一个字符串zzz69806582,这个按键
很明显，这是一个击键记录器
看下exe导入了哪些函数

这里，和我们在strings下看到的一样

这里，dll导出了zzz69806582这个函数，原来不是一个字符串

USER32.DLL中只导入了三个函数，我们更加确信这是一个击键记录器

基础动态分析

打开procmon

这里我们看到该病毒在C:\WINDOWS\System32目录下创建了inet_epar3.dll这个文件，用LoadPE比较一下


该病毒获取了cisvc的句柄，然后启动了命令行

最后，通过发送net start cisvc来启动索引服务。
用procexp查看进程树

cisvc服务正在运行

高级动静态分析

将可执行文件载入IDA

病毒将async.dll复制到C:\WINDOWS\System32\系统目录中,接着创建字符串C:\WINDOWS\System32\cisvc.exe并作为sub_401070的参数,接着调用系统命令net start cisvc启动索引服务.enter跟进sub_401070

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课