病毒分析之Virut病毒感染样本分析(setup.exe)

样本分析(setup.exe)"/>

病毒分析之Virut病毒感染样本分析(setup.exe)

病毒分析之Virut病毒感染样本分析(setup.exe)

样本概况

文件: C:\Users\Hades-win7\Desktop\setup_mima666\setup.exe
大小: 369664 bytes
文件版本:8.0.50727.42 (RTM.050727-4200)
修改时间: 2014年4月21日, 11:18:00
MD5: E29DAE6188A0B0BB797C42F68D8DFA41
SHA1: 16B5B2BBEFD499AAE7B3B6111ABB2409AC76FAB1
CRC32: 43952BC7

该样本为正常程序被病毒感染后的样本,运行效果如图:

恶意行为

2.1创建内存映射,注入进程
2.2修改注册表,添加防火墙信任列表
2.3挂钩系统函数,过滤消息感染进程
2.4连接恶意网址,发送数据,接收数据,接受远程控制(服务器ilo.brenz.pl ant.trenz.pl)
2.5感染移动磁盘,复制病毒并创建autorun.inf文件,写入启动信息为病毒

2.6感染可执行文件

分析记录

执行完病毒代码后,调用原程序执行.

创建病毒文件到临时目录

通过Hash值来动态获取函数地址.