1 样本信息

MD5：5660c4b61afede1f9781aea985bff3b0

DIE查壳信息：

2 静态分析

2.1 第一阶段分析

样本初始载体的主要功能并不复杂，首先会进入注册表检测SYSTEM\CurrentControlSet\Services\Distribumkq是否存在，并根据结果执行不同的操作流程。

当样本第一次执行即SYSTEM\CurrentControlSet\Services\Distribumkq不存在时，首先会将样本本身文件复制到系统目录并作为服务启动

然后会将本身移动到临时目录，并在下次重启时删除样本原文件进行简单的痕迹清除（MoveFileExA第三个参数 5u 对应 MOVEFILE_DELAY_UNTIL_REBOOT：延迟操作，直到系统重启时执行；第二个参数为 0 表示 “删除文件“）

自此样本第一阶段的功能全部完成进入第二阶段。

2.2 第二阶段分析

当第一阶段中将本身复制到系统目录下并作为服务启动时，启动的样本再次检测SYSTEM\CurrentControlSet\Services\Distribumkq是否存在便会进入另一个逻辑分支。在这条逻辑分支中样本会首先尝试注入svchost.exe进程，若注入成功则休眠一段时间后退出，若注入未成功则会将远控函数注册为服务启动。

2.2.1 注入相关代码

首先判断自己模块是否为svchost.exe，若不是则经过一系列准备后调用sub_405DB0进行注入操作

注入手法为常见的跨进程申请写入内存后调用SetThreadContext和ResumeThread开始执行注入代码。

2.2.2 远控逻辑

在经过一系列准备工作后样本会启动线程，将sub_401B50（远控逻辑函数）作为线程回调函数，下面具体分析sub_401B50函数。

在sub_401B50函数中首先会通过调用sub_401540函数来与远程服务器进行连接

连接完成后会调用sub_403240函数收集一些计算机基础的信息

收集完信息后会将本地信息发送给服务器告诉其已经完成了相关的准备工作

最后会调用sub_4018B0函数来接收远程控制指令和数据，进而执行对应的操作

下面列举部分远控的功能

其中0x2和0x3指令较为相似，都是控制计算机发送网络数据包可让受控的计算机执行DDos攻击

部分选择的入口函数如下

0x6指令为退出指令

0x10指令为下载并执行任意代码的指令

0x16指令可以修改任意文件的内容

3 小结

总体来说该病毒样本功能并不复杂，也没有什么反调试和混淆，适合新手用来练手，样本已上传附件，感兴趣的朋友可以下载玩一玩，解压密码为pediy.com。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！