3601-病毒分析

样本分析

病毒名称：3601.exe

MD5值：b5752252b34a8af470db1830cc48504d

SHA1值：aec38add0aac1bc59bfaaf1e43dbdab10e13db18

病毒行为：

注册注册表服务进行持续性启动，对网站进行访问然后下载软件。并移动自己到系统文件夹下。之后释放自己内部的文件。

1.2测试环境及工具

运行环境：Windows7 32专业版

分析工具：PCHunter、Process Explorer、火绒剑、WSExplorer

逆向工具：OD、PEID、ResourceHacker、DIE

1.3 行为预览图

 2．具体行为分析

一 主要行为

1 恶意程序对文件操作分析

2 注册表的操作

3 进程的操作

4 创建文件操作

5 远程通讯

分析资源，在资源中含有类似PE结构体信息

二  IDA静态分析

WinMain

对注册表进行判断查看是否第一次运行病毒文件。如果不是就在注册表添加服务，之后移动文件到系统文件夹下，如果

Reg_exist

判断当前注册表是否存在。

SetService__

判断当前文件是否在系统目录下，不是系统路径就拷贝到系统路径下，并删除源文件，并尝试打开和运行服务。

ServiceProc_

释放资源，对局域网主机进行爆破，连接网页下载病毒文件服务，并将病毒文件拷贝到共享文件。由于网站无法访问，无法展示下载病毒文件。

内部

EnumResourceNames__

读取资源表，将资源表的PE文件，释放到DLL文件

AttAck

爆破功能

sub_402AD0-打开共享服务

在爆破管理员的账号之后，对主机进行打开资源共享服务

DOWNLOADFile

 3．解决方案

 3.1 预防措施

建议中毒主机进行物理隔离处理，避免传染给其他主机。平时安装杀毒防护软件。

3.2 手工查杀

1.使用杀毒软件进行查杀。

2.对注册表服务项进行删除。

3.对创建和释放的文件进行删除。