1.1 样本信息

病毒名称：svchost.exe1.exe

所属家族：未知

MD5值：05d595334a3eb72fc77ee9cbfe4be2fa

SHA1值：05d595334a3eb72fc77ee9cbfe4be2fa

CRC32：5bc98320

1.2 测试环境及工具

测试系统：windows7

测试工具：Exeinfo

PEid

IDA

OD

ResourceHacker

1.3 分析目标

找到恶意代码并且分析病毒怎样利用代码实现恶意行为。

2．具体行为分析

2.1 样本初查

——查看导入表

发现加密函数与对注册表操作函数，有加密操作与注册表操作

存在遍历文件的函数，并且对分拣进行拷贝

比对文件名，搜索确认是否是有效文件路径。

接收键盘活动，检测剪贴板数据

网络链接API

COM组件API

下载URL字符串并保存在文件中

推测该样本可能的恶意行为，下载字符串，网络行为，查询窗口，遍历文件COM组件调用。监测键盘活输入。

——查看可疑字符串

发现链接网址

——查看资源

未发现可疑信息。

2.1.1 行为监测

有网络连接行为，样本在进行网络连接

有创建文件并写入一些数据。

2.2 恶意代码分析

2.1恶意代码树结构图(是否有加固)

2.2 恶意程序的代码分析片段

对病毒具体分析：

一些文件操作，虽然发现有网络连接操作，但是此处文件没有实际意义的操作，可能是休眠手段。

再往下走，

两个函数分别是sub_402960，通过IP检测国家是否是乌克兰UA。

Sub_402910是通过语言来检测地区是否是UKR乌克兰

结果

再往下，字符串的解密操作

再往下创建名为df54erd互斥体。并验证是否成功成功继续，失败则退出程序

继续，经过一些无意义的文件操作后，只做了初始化加密服务与COM服务。。删除掉病毒所在路径下的:Zone.Identifier(下载溯源文件)也就是把打开下载文件的安全警告关闭掉。然后对程序进行判断看是否是病毒程序。

若不是是病毒程序，执行文件创建和设置 RUN 键自启动，另一个键值的设置 为防火墙白名单。最后若成功复制就运行，并退出当前进程。

若是病毒程序，则执行到下一段代码，到此处代码发现函数sub_402810执行解密操作，将无序字符串解密出有效字符串，需要OD动态调试。下图为解密函数，以Tidr为密钥进行解密。

解密后，发现应该是免杀设置，先判断是否有杀毒软件，若有则关闭 WindowsDefender，关闭 AntiSpyware，关闭实时扫描，关闭访问保护，关闭行为监控，关闭 AntiVirus/防火墙/系统更新及通知，关闭 实时保护，设置了注册表键值。没有跳过直接执行下面代码。

再往下，创建了两个线程

第一个线程功能是替换剪切板里的内容。

先是判断剪切板中的数据是否是虚拟货币地址，然后针对虚拟货币地址用准备好的地址进行替换掉。下图为检测剪切板中的数据是否符合替换条件，符合继续，不符合不做恶意行为。

下图为在剪切板中找到符合条件的虚拟货币地址，而进行替换的操作。

例：

粘贴3JHbgxWSZzvG73eeMZuTvV8La0000SwH5e 实际3JHbgxWSZzvG73eeMZuTvV8LaCwPaSwH5e

第二个线程是遍历驱动器找出可移动或远程磁盘， 并对文件进行操作

Sub_4020F0以扩展名过滤待删除文件，并移动其余文件或文件 夹到根目录下的文件夹“__”中，其中有过 COM 组件的一些函数调用。

每个待处理磁盘都会新建“__”文件夹，并将自身复制到其中命名为 DriveMgr.exe，还会在根目录下新建 autorun.inf (双击盘符自动运行 DriveMgr.exe)，

其中的 sub_401EF0 函数中有 COM 组件的调用，但虚拟机环境没有对应组件，故没有分析

最后下载并运行网络程序

Sub_402A40,URL检测，若通过则sub_401A00下载文件并执行文件。

Sub_401A00解密并校验文件，若通过校验则运行文件，否则删除下载文件

Sub_4017E0:解密前会先利用文件映射加载到内存中，然后校验类似 magic 的标志数，之后解密，解密后校验 SHA1 值， 最后更新标志位

sub_401700, 解密密钥一部分存在下载的文件中

到此分析完毕。

拦截下载：

根据代码分析，跳过几个大循环，Nop掉几个sleep函数。运行发现没有一个下载文件能执行到验证 SHA1处。

拦截到的大于 64KB 文件的 URL，如下所示

File 检测 64KB 文件(文件内容都一样)，结果判断不出来是什么类型的文件

学习资源

如果你是也准备转行学习网络安全（黑客）或者正在学习，这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你

知识库由360智榜样学习中心独家打造出品，旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力，熟练掌握基础攻防到深度对抗。

1、知识库价值

深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。

实战性： 知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。

2、 部分核心内容展示

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

内容组织紧密结合攻防场景，辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合，是你学习过程中好帮手。

1、网络安全意识

2、Linux操作系统

3、WEB架构基础与HTTP协议

4、Web渗透测试

5、渗透测试案例分享

6、渗透测试实战技巧

7、攻防对战实战

8、CTF之MISC实战讲解

3、适合学习的人群

‌一、基础适配人群‌

1. ‌零基础转型者‌：适合计算机零基础但愿意系统学习的人群，资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌；
2. ‌开发/运维人员‌：具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能，实现职业方向拓展‌或者转行就业；
3. ‌应届毕业生‌：计算机相关专业学生可通过资料构建完整的网络安全知识体系，缩短企业用人适应期‌；

‌二、能力提升适配‌

1、‌技术爱好者‌：适合对攻防技术有强烈兴趣，希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌；

2、安全从业者‌：帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌；

3、‌合规需求者‌：包含等保规范、安全策略制定等内容，适合需要应对合规审计的企业人员‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】