该样本来源于此帖恶意样本简单分析

NAME:Lab03-03.exe

MD5:e2bf42217a67e46433da8b6f4507219e

SHA1:daf263702f11dc0430d30f9bf443e7885cf91fcb

样本运行后，效果可见ANYRUN。

PEID查壳：

运行样本并通过procexp对其进行监控，结果如下图。据此可以知道，Lab03-03.exe运行后生成名为svchost.exe的程序，随后Lab03-03.exe自行退出：

将生成的svchost.exe与系统文件svchost.exe进行对比可发现，该文件出现了许多不应该存在的字符串：

查看服务，该svchost.exe属于未知组件：

通过procmon，可以发现由Lab03-03.exe生成的svchost.exe在不断调用WriteFile和CreateFile等函数对一个名为practicalmalwareanalysis.log的文件进行操作：

打开该文件，其中记录了键盘及文件操作等信息。例如此处在桌面新建文档并键入字符，打开practicalmalwareanalysis.log后可观察到如下信息：

由此可知Lab03-03.exe运行后将生成进程svchost.exe并自行退出，留下的svchost.exe会在同目录下生成practicalmalwareanalysis.log用于记录键盘及文件操作信息。

用IDA对Lab03-03.exe进行分析

main函数主要逻辑如下：

其中主要分析sub_40149D、sub_40132C及sub_4010EA

该函数第一个参数为\svchost.exe，函数主要目的是返回系统文件svchost.exe的路径：

sub_40132C将PE文件地址作为参数传入：

随后对其进行如下处理：

首先查找位置，此处笔者将该部分复制出来保存：

当判断该文件前两个字母不为"MZ"时，sub_401000函数将对其进行处理，处理方式为：

sub_40132C函数结束后内存变化如下，此时解析后的PE文件写入内存0x3B0000处：

将保存的文件异或处理后得到文件如下，对该文件的分析将放至第三部分详细描述：

此函数分析如下：

首先创建svchost.exe，随后申请内存并将线程中获取的寄存器的值放入内存中：

之后利用NtUnmapViewOfSection函数将Buffer处的模块卸载：

最后激活进程：

此处用IDA对其进行分析

fn中调用了函数sub_4010c7，该函数主要目的为处理键值并在相应的文档中记录信息：

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！