引子：
?最近研究算法上癮了，也分析了一些最新的惡意軟件（后續(xù)更），今早瀏覽樣本的時(shí)候發(fā)現(xiàn)一款老病毒，大體分析了一下，還算有趣所以簡(jiǎn)單分享一下。

病毒分析：
?1、解壓樣本后，只發(fā)現(xiàn)了一個(gè)鏈接？？鏈接名叫賬號(hào)密碼，我第一次看到竟然雙擊了（其實(shí)知道有隱藏文件，習(xí)慣性的操作很可怕），雙擊后感覺(jué)就中招了，如下所示：

創(chuàng)新互聯(lián)長(zhǎng)期為超過(guò)千家客戶(hù)提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏(yíng)平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為臨滄企業(yè)提供專(zhuān)業(yè)的成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作，臨滄網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

???????????????????圖片一：樣本
?2、右擊查看一下鏈接屬性及鏈接位置，發(fā)現(xiàn)是一個(gè)該文件夾下vb腳本的快捷方式，調(diào)整一下文件夾顯示屬性：


????????????????????圖片二：VBS
3、用010打開(kāi).vbs來(lái)看一下代碼，如下所示：

????????????????????圖片三：隱式執(zhí)行
4、利用shell執(zhí)行了~\jpg.exe，打開(kāi)文件夾繼續(xù)跟中一下，如下所示：

????????????????????圖片四：隱士文件夾
?5、文件夾中有jpg.jpg圖片，還有.ini初始化文件，怎么下手分析？Shell對(duì)象執(zhí)行了jpg.exe，那么靜態(tài)分析，不過(guò)先看一下jpg圖片與.ini數(shù)據(jù)，如下所示：

????????????????????圖片五：數(shù)據(jù)查看
6、IDA中靜態(tài)觀(guān)察一下jpg.exe安裝程序，如下所示：

????????????????????圖片六：jpg.exe
7、因?yàn)槭欠治鲞^(guò)了，所以函數(shù)名稱(chēng)已改成WriteLog，進(jìn)入函數(shù)分析一下：

????????????????????圖片七：追加（創(chuàng)建）日志
8、日期格式化輸出，寫(xiě)入文件，如下所示：


????????????????????圖片八：C標(biāo)準(zhǔn)文件流
9、然后設(shè)置了環(huán)境變量等屬性，如下所示：


????????????????????圖片九：環(huán)境屬性
10、分享一段匯編代碼，memset的匯編原理，從匯編來(lái)看，真的是高效率（論時(shí)效）如下：

xor     eax, eax
lea     edi, [esp+21Ch+var_103]
mov     [esp+21Ch+Value], 0
rep stosd
stosw

來(lái)看rep stos這條指令，如下所示：

 11、IDA整體瀏覽了一下，發(fā)現(xiàn)每一個(gè)操作都會(huì)有詳細(xì)的日志記錄，而且以Entry -- Leave為完成標(biāo)志，日志記錄如下：

????????????????????圖片十：日志記錄
解析整個(gè)流程如下：
?1、進(jìn)入Setup.exe安裝
2、調(diào)用了SetEnvironment
3、環(huán)境變量SetupExeLocation設(shè)置為C:\Users\15pb-win7\Desktop\當(dāng)前路徑
4、環(huán)境變量PROCESSOR_ARCHITECTURE設(shè)置為x86
5、SetEnvironments返回1成功
6、CmdLine：baidu.com 文件名稱(chēng)
7、創(chuàng)建了注冊(cè)表：
8、離開(kāi)了Setup.exe

????????????????????圖片十一：注冊(cè)表創(chuàng)建
12、上面步驟是以日志過(guò)程分析的，根據(jù)實(shí)際匯編來(lái)看，創(chuàng)建進(jìn)程以后才會(huì)進(jìn)行注冊(cè)表操作，如下所示：


????????????????????圖片十二：創(chuàng)建進(jìn)程
?13、剩下的就是命名為baidu.com.exe的可執(zhí)行文件了，火絨見(jiàn)先運(yùn)行看看行為，運(yùn)行后竟然彈出了jpg,jpg的圖片，如下所示：

????????????????????圖片十三：baidu.com.exe
?14、這時(shí)候捋一捋，雙擊最開(kāi)始快捷方式-->會(huì)執(zhí)行VB-->執(zhí)行jpg.exe-->執(zhí)行baidu.com.exe打開(kāi)圖片.。
意味著雙擊快捷方式就會(huì)打開(kāi)圖片，其實(shí)已經(jīng)運(yùn)行了惡意程序baidu.com.exe程序，圖片是為了偽裝，迷惑受害者，以為雙擊的快捷方式就是一個(gè)圖片（文章最后附整個(gè)思維導(dǎo)圖）。
?15、看一看火絨劍的監(jiān)控信息，有明顯的連接發(fā)送socket網(wǎng)絡(luò)，意味著數(shù)據(jù)的泄露與惡意盜取，有著特洛伊的特性（遠(yuǎn)控）,如下所示：

????????????????????圖片十四：行為監(jiān)控
16、先線(xiàn)上分析一下，看一下更為精準(zhǔn)的惡意描述，如下所示：


????????????????????圖片十五：線(xiàn)上分析

?17、線(xiàn)上分析辨別出這并不是一個(gè)高危病毒（雖然不一定準(zhǔn)確），有url與ip，意味著可能會(huì)下載惡意代碼和上傳系統(tǒng)/個(gè)人敏感數(shù)據(jù)。
其實(shí)這個(gè)沒(méi)有殼，一開(kāi)始已經(jīng)拉入PDIE查看了基本信息，但是又壓縮與加密函數(shù)，補(bǔ)圖一張，如下所示：

????????????????????圖片十六：PEID分析
?因?yàn)楸酒又攸c(diǎn)不是樣本分析，所以最后樣本不進(jìn)行詳細(xì)分析，整篇帖子注重于整個(gè)手法與偽裝手段，如下所示：

????????????????????圖片十七：思維導(dǎo)圖