一、病毒简介

这款木马从恶意网址下载东西，然后修改本地文件；

SHA256:4354970ccc7cd6bb16318f132c34f6a1b3d5c2ea7ff53e1c9271905527f2db07

MD5:56b2c3810dba2e939a8bb9fa36d3cf96

SHA1:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc

二、行为分析

首先看看微步云沙箱分析：

恶意服务器网址：[ddos.dnsnb8.net]

接下来看看火绒剑监控结果：

这边有大量的对本地文件修改；

最后是一个自删除。

三、静态分析

首先查壳：

通过x32dbg脱壳：

看到pushad，直接esp大法或者ctrl+f搜索popad，选择第一个：

走到ret，进入OEP脱壳：

注意一下OEP这里：

接下来拖到IDA中，根据之前OEP那里，找到关键位置：

进入函数1371638：

这里是获取临时文件夹路径，系统目录以及当前进程路径等，随后进入137139F，箭头所指：

返回之后，继续向下走：

进入第一个箭头所指：

这里是下载文件并启动，进入第二个箭头：

函数sub_1371973：

那么这个函数就是拷贝自身到临时路径下，并读取自身内容，返回进入线程回调函数：

这里获取驱动器盘符类型，如果大于1不等于五，进入开辟线程：

进入回调函数，进入sub_13728B8：

这里是筛选exe和rar后缀文件，进入sub_137239D函数：

这里是对文件进行写入操作；这里就是遍历目录，筛选exe和rar后缀，对这类文件进行写入；

第三个箭头就是删除文件类操作。当然这次没有细致分析，大概知道病毒都是下载文件，然后遍历目录筛选后缀exe和rar的程序进行写入，因为是静态分析，所以细致东西并没有发现，下次会结合动态分析更加详细的分析一次。