一个感染型的病毒逆向分析

作者：Fly2015

其实对于病毒分析人员来讲，会逆向分析汇编代码只是一个方面，一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好的病毒分析报告要让人看了报告之后，能大致了解这个病毒有哪些危害，怎么去预防和基本的判断是这种病毒。如果是为了写病毒专杀而做的分析报告那就另当别论了。

对于代码的具体分析：

关键 函数402500的具体分析：

在拷贝数据之前，该函数根据新的文件名称会先创建一个文件。

设定的定时器标识为100.

跳转分支的代码的分析：

设定的定时器的标识是200.

关键 函数403A90 的具体分析：

先分析定时器标识为100的代码部分： 

下面具体分析函数4030F0，如下：

再分析定时器的标识为200的代码的部分：

 

=====================================================================

下面对关键 函数404120—文件的遍历 进行具体的分析：

还记得前面的循环到次数吗?前面的循环遍历的次数是4，因此，这里文件的遍历的开始路径为：

"C:\\*.*"

"E:\\*.*"

"F:\\*.*"

"G:\\*.*"

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

对 函数403F70即函数InfectsPE的具体分析：

下面对获取目标资源的函数004023B0即函数GetResource进行分析：

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

=====================================================================

=====================================================================

下面对关键 函数404560 进行具体的分析：

函数402450即GetRandBuffer函数就是产生一个随机字符串，直接看IDA还原的代码：

下面继续分析代码：

#########################################################################

单独分析函数404440，如下：

#########################################################################

 

OK，花了一天半的时间分析了这么多，不想再这么分析了，中间我也偷了懒，就这样吧。权当曾经无聊过，后面也懒得总结了，只是一种兴趣和爱好罢了，算不上是一份病毒分析报告。排版比较乱，写的也比较乱，没有总结就等于没分析。哈哈

虽然分析文档没什么用但是还是提供分析文档的下载地址：http://download.csdn.net/detail/qq1084283172/8906969