安全专家浅谈恶意代码的研究分析(3)

 ◆再次进行脱壳，最后侦查的结果是使用Dephi语言进行编码。

◆通过注册表监视工具RegMon，监视病毒运行时对注册表的操作行为；通过文件监视工具FileMon监视病毒运行时对文件的操作行为。也可以用快照工具RegSnap进行注册表和指定目录下的文件进行前后对比，快速找出病毒新建和修改的注册表，以及本地文件的释放行为。

498)this.style.width=498;" border=0>

文件运行后会释放以下文件
%System32%/drivers/spo0lsv.exe     32,768字节
新增注册表
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/run]
%System32%/drivers/spo0lsv.exe

另外有些还需要手工进行查找。如对IE的临时文件、host文件、msconfig文件等进行手工分析，查看是否对这些文件进行修改或者在目录下生成新的文件。

◆通过Sniffer工具进行网络监视。后门类与木马类病毒在成功感染后，往往会把搜集到的用户信息发送出去，或是主动连接下载病毒的主程序，这样就必然要进行网络操作。通过一些网络监视工具，来发现病毒的网络行为。

本样本通过sniffer工具抓包分析的连接网络行为如下：

498)this.style.width=498;" border=0>

协议：TCP
域名或IP地址：www.yahoo.com (209.131.36.158)
端口：80
对目标主机的操作：通过QQ代理进行访问www.yahooo-ht3.akadns.net

协议：TCP
域名或IP地址：www.tom.com (202.108.12.68)
端口：80
对目标主机的操作：通过QQ代理进行访问www.web.cdn.tomcdn.com

协议：TCP
域名或IP地址：www.163.com (202.108.9.34)
端口：80
对目标主机的操作：通过QQ代理进行访问www.cache.split.netease.com

协议：TCP
域名或IP地址：www.sohu.com (61.135.188.65)
端口：80
对目标主机的操作：通过QQ代理进行访问www.pagegrp7.a.sohu.com

协议：TCP
域名或IP地址：www.google.com (64.233.189.99)
端口：80
对目标主机的操作：通过QQ代理进行访问www-china.l.google.com
……
病毒感染后，带有QQ尾巴的功能，能通过QQ代理访问上述网址。