0x00 运行样本分析行为
首先开启process monitor 监控,然后在打开样本文件:
监控到cmd在temp目录下新建了svrhost.exe文件和_uninsep.bat文件。
使用process expoler 发现病毒文件篡改了spoolsv.exe文件植入了恶意dll。
首先去看下_uninsep.dat文件是什么:
发现是一个自删除文件,执行完代码删除tem目录下的恶意文件
0x01 恶意文件反汇编分析
根据路径找到C:\windows\system32\目录下的恶意代码文件:msxml0r.dll文件,
使用peid 查看该文件发现已经被加壳了
使用脱壳工具脱壳:
成功将壳拖下,这时候再把文件拖到ida分析,
首先定位为到dllmain函数,函数调用了如下图的函数,在其中发现代码调用浏览器下载文件的操作,但是很明显字符串被加密过,需要解密出来。
根据ida定位到data是位于0x1000BD00的数据,于是可以把它作为断点进入odb调试:
设置写入断点:
成功定位到解密字符串:
可以发现是3个url,下载了gif恶意文件。