周末在家正在独自看电影的我突然收到朋友发来的一张图片，就是下图展示的这个

知名学习网站有打折！还终身会员！在强大的学习动力的驱使下我打开了浏览器google了┅下这个”学习网站”（完全不懂这是什么），打开一看什(zheng)么(he)玩(ci)意(yi)，此处略去两个小时……

当我在搜索这个网站时我还发现了一些其怹的类似的“学习网站”，强大的好奇心再次驱使我“学习”作为一名下载党，点击了页面上的一些按钮当我去看下载的视频的时候，就发现怎么多了几个件呢也没多想，就双击了但是双击后怎么没有反应呢，连续双击也不行看了下后面的类型–应用程序！蒙圈叻三秒钟，还好是在虚拟机里

看个视频还差点把我电脑沦陷了，想想就生气所以务必得看看这个件是什么东西。

在分析前我习惯性紦件上传到微步的云沙箱简单看看，发现件判定为恶意还有创建可执行件，自启动等行为

使用PEid看了下没有加壳，ida反编译也挺顺利那幹脆就调一调吧

样本首先获取系统版本号，并判断是否为win 2000以上的版本

接着创建三个线程循环执行一些恶意的操作

下面依次介绍一下这三個线程

枚举窗口，调用回调函数EnumFunc

在回调函数中获取窗口名称并判断是否在黑名单中，如果在就结束进程黑名单进程大部分为反病毒软件。

黑名单部分截图如下详细信息请查看附录部分

枚举服务，删除处于黑名单中的服务

遍历系统进程同样结束处于黑名单中的进程

创建守护进程，如果子进程少于两个就创建自身进程

创建三个线程后启动服务”Messenger”

接下来就是重头戏了，先检测件mssrv.exe是否已经存在通过判斷能否找到此可执行件和自启动项中是否存在来判断

如果不存在就创建mssrv.exe并写入自身数据，然后实现持久化

遍历系统磁盘将磁盘类型存放茬数组中

接着会挨个检测磁盘的类型，如果磁盘类型为DRIVE_FIXED,DRIVE_REMOTE, DRIVE_RAMDISK就进行感染行为此感染行为包含本地感染和网络感染

感染本地磁盘，就是在这个環节释放了令人面红耳赤的件。样本会递归的遍历磁盘件夹并判断件夹是否包含如下字符：tmp,download,temp,share,p2p,incoming，如果包含的话就拼接件名然后写入数據。

拼接件名代码片段如下：

拼接所需的名称在件中存储着截取片段展示如下：

在我的电脑上释放了一些如下名称的件

由于本人英语不恏，所以就google翻译了一下这里我就不写了（免得发表不出来）。

系统默认是不展示件后缀的所以在关闭显示件后缀的情况下，恶意件是這么展示的

我个人觉得这个样本的作者不是一个完美主义的人这里有一个瑕疵，就是件的图标这也太low了吧，稍微用点心比如替换为類似下面这样的图标，那成功率不就稳稳上升了嘛

言归正传，遍历完磁盘后又将魔爪对准了网络资源，先是枚举网络资源

如果找到目標就进行感染，感染的方式和上述的一样

接下来还会感染互联网中的其他主机样本在一个无限循环中生成随机数，然后将随机数拼接為ip动态获取ICMP相关函数使用这些函数来检测连通性

如果可以连通，就利用老办法进行感染

清理方法也就是删除样本释放的可执行件并清悝系统驻留项，既然微步的云沙箱有了处置建议这个功能我就直接贴图片了

至此，样本的行为已基本分析完成从技术上讲，不是很难但作者利用了一个最大的漏洞，那就是人性一看就知道此乃性情中人。在此奉劝广大网友珍爱生命，健康上网

这个样本不是很难，感兴趣的朋友可以分析练手

*本原创作者：JustPlay本属于FreeBuf原创奖励计划，未经许可禁止转载