一、病毒簡介

SHA256:3110f00c1c48bbba24931042657a21c55e9a07d2ef315c2eae0a422234623194

MD5:ae986dd436082fb9a7fec397c8b6e717

SHA1:31a0168eb814b0d0753f88f6a766c04512b6ef03

二、行為分析

老套路，火絨劍監(jiān)控：

這邊可以看見創(chuàng)建了一個exe，又為他設(shè)置了注冊表自啟動；

這里是進行網(wǎng)絡(luò)鏈接操作，同時不斷獲取信息保存文件到本地，這是請求的信息：

general-second.org-help.com/dl_ex1.png?m=000C29AB634E&NOTE=Ni4xIDogMC4wfDV8djEuMAo=

通過微步云沙箱在線進行掃描，結(jié)果如下：

三、靜態(tài)分析

首先查查殼，這里并沒有加殼，導入表信息更多是和網(wǎng)絡(luò)操作有關(guān)的函數(shù)：

直接拖到IDA分析：

開局創(chuàng)建互斥體防多開，檢測之后就到了關(guān)鍵else中：

3.1 sub_4011E0

這里是解密函數(shù)名和模塊名，隨后進行加載，獲取地址，那么對于這種情況沒有比動態(tài)調(diào)試更簡單的方法了：

那么解密后的結(jié)果如下，根據(jù)這些函數(shù)也大致知道這個木馬做了些什么事：

3.2 sub_403600

查看此函數(shù)獲取路徑：

那么此函數(shù)就是獲取應(yīng)用程序路徑，繼續(xù)向下看：

顯而易見，這里是查看當前程序路徑，如果不是自己拷貝的路徑，就自我拷貝，然后在注冊表設(shè)置自啟動，運行成功彈窗。

3.3 sub_401580

GetAdaptersInfo：

Next

類型： 結(jié)構(gòu)_IP_ADAPTER_INFO*

指向適配器列表中的下一個適配器的指針。

ComboIndex

類型：DWORD

保留。

AdapterName[MAX_ADAPTER_NAME_LENGTH + 4]

類型： char[MAX_ADAPTER_NAME_LENGTH + 4]

適配器名稱的 ANSI 字符串。

Description[MAX_ADAPTER_DESCRIPTION_LENGTH + 4]

類型： char[MAX_ADAPTER_DESCRIPTION_LENGTH + 4]

包含適配器說明的 ANSI 字符串。

AddressLength

類型： UINT

適配器的硬件地址的長度（以字節(jié)為單位）。

Address[MAX_ADAPTER_ADDRESS_LENGTH]

類型： BYTE[MAX_ADAPTER_ADDRESS_LENGTH]

表示為 BYTE 數(shù)組的適配器的硬件地址。

Index

類型：DWORD

適配器索引。

當禁用并啟用適配器或在其他情況下，適配器索引可能會更改，不應(yīng)被視為持久性。

Type

類型： UINT

適配器類型。 適配器類型的可能值列在 Ipifcons.h 頭文件中。

下表列出了適配器類型的常見值，盡管 Windows Vista 及更高版本上可能提供其他值。

Value 含義
MIB_IF_TYPE_OTHER
1
其他類型的網(wǎng)絡(luò)接口。
MIB_IF_TYPE_ETHERNET
6
以太網(wǎng)網(wǎng)絡(luò)接口。
IF_TYPE_ISO88025_TOKENRING
9
MIB_IF_TYPE_TOKENRING
MIB_IF_TYPE_PPP
23
PPP 網(wǎng)絡(luò)接口。
MIB_IF_TYPE_LOOPBACK
24
軟件環(huán)回網(wǎng)絡(luò)接口。
MIB_IF_TYPE_SLIP
28
ATM 網(wǎng)絡(luò)接口。
IF_TYPE_IEEE80211
71
IEEE 802.11 無線網(wǎng)絡(luò)接口。
注意 此適配器類型在 Windows Vista 及更高版本上返回。 在 Windows Server 2003 和 Windows XP 上，IEEE 802.11 無線網(wǎng)絡(luò)接口返回 MIB_IF_TYPE_ETHERNET的適配器類型。
?
DhcpEnabled

類型： UINT

一個選項值，該值指定是否為此適配器啟用動態(tài)主機配置協(xié)議 (DHCP) 。

CurrentIpAddress

類型： PIP_ADDR_STRING

保留。

IpAddressList

類型： IP_ADDR_STRING

與此適配器關(guān)聯(lián)的 IPv4 地址列表表示為 IP_ADDR_STRING 結(jié)構(gòu)的鏈接列表。 適配器可以分配多個 IPv4 地址。

GatewayList

類型： IP_ADDR_STRING

此適配器的網(wǎng)關(guān)的 IPv4 地址，表示為 IP_ADDR_STRING 結(jié)構(gòu)的鏈接列表。 適配器可以分配多個 IPv4 網(wǎng)關(guān)地址。 此列表通常包含此適配器的默認網(wǎng)關(guān)的 IPv4 地址的單個條目。

DhcpServer

類型： IP_ADDR_STRING

此適配器的 DHCP 服務(wù)器的 IPv4 地址，表示為 IP_ADDR_STRING 結(jié)構(gòu)的鏈接列表。 此列表包含此適配器的 DHCP 服務(wù)器的 IPv4 地址的單個條目。 值為 255.255.255.255 表示無法訪問 DHCP 服務(wù)器，或者正在達到。

僅當 DhcpEnabled 成員為非零時，此成員才有效。

HaveWins

類型： BOOL

一個選項值，該值指定此適配器是否使用 Windows Internet 名稱服務(wù) (WINS) 。

PrimaryWinsServer

類型： IP_ADDR_STRING

主 WINS 服務(wù)器的 IPv4 地址，表示為 IP_ADDR_STRING 結(jié)構(gòu)的鏈接列表。 此列表包含此適配器的主 WINS 服務(wù)器 IPv4 地址的單個條目。

僅當 HaveWins 成員為 TRUE 時，此成員才有效。

SecondaryWinsServer

類型： IP_ADDR_STRING

輔助 WINS 服務(wù)器的 IPv4 地址表示為 IP_ADDR_STRING 結(jié)構(gòu)的鏈接列表。 適配器可以分配多個輔助 WINS 服務(wù)器地址。

僅當 HaveWins 成員為 TRUE 時，此成員才有效。

LeaseObtained

類型： time_t

獲取當前 DHCP 租約的時間。

僅當 DhcpEnabled 成員為非零時，此成員才有效。

LeaseExpires

類型： time_t

當前 DHCP 租約過期的時間。

僅當 DhcpEnabled 成員為非零時，此成員才有效。

那么這里就是獲取主機的相關(guān)信息，根據(jù)后面格式化字符串可推測這里是獲取網(wǎng)卡相關(guān)信息。

3.4 sub_401770

3.5 sub_402790

3.6 CreateThread

這里進入402520函數(shù)，里面有個關(guān)鍵函數(shù)402A50：

繼續(xù)向下就是修改自啟動注冊表和屏保有關(guān)的注冊表，拼接請求命令，通過cmd執(zhí)行：