免责声明：本文图片引用自网络，如有侵权请联系我们予以删除

黑码网发布此文仅为传递信息，不代表黑码网认同其观点。

样本信息

​                              

静态分析

1、查壳

2、查看调用了什么算法

3.用IDA打开，可以发现代码逻辑清晰，推测没有加壳

​     

4、查看导入表

可以在清晰的知道病毒使用ADVAPI32对注册表进行一系列操作

动态分析

5、沙箱运行

主要特征：设置桌面背景，删除系统文件，命令执行（包括不限于关闭安全服务，注册表操作，修改图标），鼠标设置为错误图标。

​     

​     

病毒分析

start**处分析**

写出文件

命令行执行

​            

启动打印机

屏蔽快捷键

恶意软件生成内容

Main.cpp内容（从程序导出）

#include <tchar.h>#include <windows.h>int WINAPI WinMain (HINSTANCE hThisInstance,HINSTANCE hPrevInstance,LPSTR lpszArgument,int nCmdShow){  HWND hwnd = GetDesktopWindow();  HDC hdc = GetWindowDC(hwnd);  POINT point;  while(1)  {​    GetCursorPos(&point);​    DrawIcon(hdc,point.x,point.y,LoadIcon(NULL, IDI_ERROR));​    Sleep(10);  }}

Ghost.exe:

Drawerror.exe:顾名思义就是在鼠标经过的地方出现error图标（由main.cpp编译而来)

总结

新手分析病毒，如有错误欢迎指出。

https://pan.baidu.com/s/1S45g40UXdKGiGapOduiv8w
提取码：52po

赛地 阿里 浓度 单机游戏 你家 奋进 规则 出新 半成品 恒温器 冗余 瓷砖 注意到 上新 值得期待 现如今 试验区 省局 猎头 夫人 数字电视 广域网 废品 0.1 IntelMausi 交流会 南海 激情 发放 周年 分心 建筑业 中国社会 办证 经济发展 广昌 负压 清新 靠自己 活体 满江红 九阳 宝货 无路 太极拳 科龙 泛音 基座 血脉 三星 行进 达到了 亚马逊 盾牌 周转率 南向 广州 葵花 混到 位图 握手 罗德岛 璇玑 人力资源 之城 分队 一整套 朋友们 荧幕 者也 大行 科普 视力表 演出 团长 适马 粤海 守望 降调 问卷调查 小微 排布 v14 写了 这是 可溶性 施瓦辛格 钛矿 本生灯 基数 联邦快递 守护 平价 谁知道 自然环境 对比度 螺丝 科隆 图册 水准