作者丨黑蛋

一、基本信息

文件名称
880753802c3e6f4b5269062d4e76200c66e3a71e2118702e24d2b32c19dddfd2
文件类型(Magic)
PE32 executable (GUI) Intel 80386, for MS Windows
文件大小
479.50KB
SHA256
880753802c3e6f4b5269062d4e76200c66e3a71e2118702e24d2b32c19dddfd2
SHA1
0c9dec73697f74a8657e538eef8016a515e6cbc0
MD5
94861ecbc2fd8043fa5bd69d004cfe59
CRC32
21277D6C
SSDEEP
12288:+xckcFwY9rXkEzmMH+rffHD7bUiR1bW4OhsHKawSwFoUiXPlEw2VfRtkO:hbTXkEzmMH+rffHDXUQbW4OhsHKawSwc
ImpHash
4e0669a977cfb6f0ea058755d10088e7

二、环境准备

系统版本

Win7x86Sp1

三、行为分析

首先在沙箱里走一下

添加火绒剑信任区，用火绒剑监控打开:

可以看到这里主要是在C:\Windows\System32下生成一个javasc.exe，然后在C:\Windows下生成一个avb.exe

之后也有大量的注册表设置，里面看到了对文件属性隐藏的设置

四、静态分析

直接甩IDA里面看一下

这里是CreateFrom，随后进入消息循环，在CreateFrom的时候进入From函数

跟一下这个地址就可以找到响应的五个函数

首先分析第一个FormCreate。

4.1、FormCreate

进入sub_44F3A0:

返回继续向下看

把javasc注册为服务，加入自启动，随后如果是正常退出，就继续进入循环响应。这里流程不是很清楚，可以结合流程图看，但主体功能就是拷贝新的病毒，设置注册表隐藏文件不可见，加入自启动。

4.2、Timer1Timer

进入主体函数

首先进入44E9FC：

再到44E980

这里是判断磁盘是否存在，之后退出函数进入磁盘类型判断：

退出这个函数，进入44EEBC函数：

主体俩个函数，进入第一个，主要是文件的遍历:

进入第二个函数：

主要是设置文件属性，随后进行了一个对自身的拷贝。

4.3、Timer2Timer

这里同样是遍历文件，获取盘符，判断日期是不是1号，10号，21号，29号，是的话删除文件，进入44F078看看：

4.4、Timer3Timer

这里是注册表的一些操作，设置隐藏文件不可见。

4.5、Timer4Timer

这里是释放资源生成nasm.exe，然后启动。

五、总结

这个病毒是delphi写的，总体功能就是释放各种病毒子体，加入自启动，设置文件隐藏，设置隐藏文件不可见，判断日期之后对文件进行一个删除操作。释放资源病毒，由于在我虚拟机没体现出这些行为，也就没有分析。同时在我物理机不小心运行了一下，结果F盘文件被隐藏了，然后替换成同名exe：