-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-04-25
- 在线时间18416小时
-
- 发帖770867
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511641
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770867
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511641
- 信誉值
- 8
|
分析响应过程([font=-apple-system, BlinkMacSystemFont, "]IDA分析)在[font=-apple-system, BlinkMacSystemFont, "]IDA 中左边栏搜索关键字[font=-apple-system, BlinkMacSystemFont, "]“timer”,获得四个响应过程 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]1. 响应[font=-apple-system, BlinkMacSystemFont, "]_TForm1_Timer1Timer[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "]进入函数[font=-apple-system, BlinkMacSystemFont, "]sub_44EF94()分析函数功能 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]1.1 进入函数[font=-apple-system, BlinkMacSystemFont, "]sub_4[font=-apple-system, BlinkMacSystemFont, "]4E9FC(&v12,a1)分析函数功能如下图的[font=-apple-system, BlinkMacSystemFont, "]while循环中可知此函数的作用是遍历目录文件 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]1.2 进入函数[font=-apple-system, BlinkMacSystemFont, "]sub_44EEBC(v11)分析函数功能 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]1.2.1 进入函数[font=-apple-system, BlinkMacSystemFont, "]sub_44EAA4(v10,(int)&v11)分析函数功能如下图所示,函数[font=-apple-system, BlinkMacSystemFont, "]sub_44EAA4(v10,(int)&v11)先通过[font=-apple-system, BlinkMacSystemFont, "]FindFirst查找到第一个符合要求的文件,并记录其创建时间[font=-apple-system, BlinkMacSystemFont, "]FatTime,然后根据创建时间找到所有此创建时间下的所有文件。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]1.2.2 进入函数[font=-apple-system, BlinkMacSystemFont, "]sub_44EC88((int)v12, v9)分析函数功能此函数通过循环修改所有通过函数[font=-apple-system, BlinkMacSystemFont, "]sub_44EAA4(v10,(int)&v11)找到的文件的文件属性,将文件隐藏。通过[font=-apple-system, BlinkMacSystemFont, "]CopyFileA函数拷贝病毒文件,[font=-apple-system, BlinkMacSystemFont, "]CopyFileA函数的第二个参数[font=-apple-system, BlinkMacSystemFont, "]v11为隐藏掉的文件名称,将其病毒文件名设置为[font=-apple-system, BlinkMacSystemFont, "]v11即隐藏掉的文件名,最后将病毒文件伪装成文件夹。[font=-apple-system, BlinkMacSystemFont, "]CopyFileA函数的第三个参数[font=-apple-system, BlinkMacSystemFont, "]v12恒为[font=-apple-system, BlinkMacSystemFont, "]-1即[font=-apple-system, BlinkMacSystemFont, "]True,表示若拷贝过去的文件路径下已存在相同文件,则不替换文件。[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]2. 响应[font=-apple-system, BlinkMacSystemFont, "]_TForm1_Timer2Timer[font=-apple-system, BlinkMacSystemFont, "]v15为获取的系统时间的[font=-apple-system, BlinkMacSystemFont, "]day,判断若系统时间年份大于[font=-apple-system, BlinkMacSystemFont, "]2009,且日期[font=-apple-system, BlinkMacSystemFont, "]day为[font=-apple-system, BlinkMacSystemFont, "]1、[font=-apple-system, BlinkMacSystemFont, "]10、[font=-apple-system, BlinkMacSystemFont, "]21、[font=-apple-system, BlinkMacSystemFont, "]29则触发感染事件,执行[font=-apple-system, BlinkMacSystemFont, "]sub_447F078函数。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]3. 响应[font=-apple-system, BlinkMacSystemFont, "]_TForm1_Timer3Timer [font=-apple-system, BlinkMacSystemFont, "]进入函数[font=-apple-system, BlinkMacSystemFont, "]sub_44F3A0(v2,v3,v4)分析函数功能如下图所示,发现其主要功能为修改注册表 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]4. 响应[font=-apple-system, BlinkMacSystemFont, "]_TForm1_Timer3Timer如下图,步骤[font=-apple-system, BlinkMacSystemFont, "]1中找到内存中[font=-apple-system, BlinkMacSystemFont, "]exefile文件并[font=-apple-system, BlinkMacSystemFont, "]free掉,然后通过[font=-apple-system, BlinkMacSystemFont, "]ShellExecuteA调用[font=-apple-system, BlinkMacSystemFont, "] nasm.exe程序。
|
