作者：龍飛雪

0x1序言

前面已經對感染型木馬病毒resvr.exe的病毒行為進行了具體的分析見一個感染型木馬病毒分析（一），但是覺得還不夠，不把這個感染型木馬病毒的行為的亮點進行分析一下就有點遺憾了。下面就針對該感染型木馬病毒的感染性、木馬性以及被感染文件的恢復幾個方面進行具體的分析和說明，直觀感受一下病毒的感染性、木馬性質。

?

0x2病毒木馬性的分析---遠程控制用戶的電腦

前面的分析中已經分析過了，該感染型木馬病毒會在用戶的電腦上創建socket套接字作為service端，等待病毒作者client端的連接。這樣病毒作者就能遠程控制用戶的電腦（這里的“控制”是操作的意思）也就說，病毒作者能夠通過socket套接字向用戶的電腦發送控制命令CmdMsg，指揮病毒resvr.exe對用戶的電腦進行惡意的破壞。

?

病毒resvr.exe在用戶的電腦上創建監聽綁定本地IP=127.0.0.1的套接字端口號為40118，將用戶的電腦變成了病毒作者能控制的service服務端。

病毒resvr.exe創建的本地監聽套接字成功之后，等待接收病毒作者client方發來的控制命令CmdMsg，對用戶的電腦進行惡意的操作。

病毒作者對用戶電腦的遠程控制操作有9組命令并且對用戶電腦的控制操作也比較多，后面會詳細的分析每一種遠程控制命令的操作。對于病毒作者client端發來的控制命令的recvCmdMsgBuffer的數據格式為“dwCmdMsg+數據內容”即接受到的數據的前8個字節是病毒作者控制用戶電腦的具體的命令類型也就是下面的9組命令類型。

第1組dwCmdMsg=0x3EB的控制操作：

很簡單，向病毒作者的client端發送控制操作結果的反饋信息例如21?43?65?87?(4個字節)的數據。

?

第2組dwCmdMsg=0x450的控制操作：

根據病毒作者client端發來的數據創建C:\Program?Files\Common?Files\Microsoft?Shared\Index.bat文件，系統本地提權瞬間關閉用戶的計算機進行掩飾。

第3組dwCmdMsg=0x451的控制操作：

根據病毒作者client端發來的數據創建C:\Program?Files\Common?Files\Microsoft?Shared\Index.bat文件，然后創建線程用于創建用戶系統桌面右下角的彈窗對話框。

第4組dwCmdMsg=0x455的控制操作：

設置當前病毒進程感染用戶文件的感染方式的標記?0xAABBCCDD，遍歷用戶電腦的所有邏輯盤里的文件進行“加密”方式的感染用戶的所有文件。創建線程對用戶電腦的26個軟盤"ABCDEFGHIJKLMNOPQRSTUVWXYZ"里的.doc、.xls、.jpg、.rar格式的文件進行感染處理。

對用戶文件的感染方式1，對用戶文件的頭0x400個字節進行xor異或的加密處理。

對用戶文件的感染方式2，僅僅對用戶的.doc、.xls、.jpg、.rar格式的文件進行感染處理。

第5組dwCmdMsg=0x453的控制操作：

創建線程用于使用DOS入侵的命令數據創建C:\\Program?Files\\Common?Files\\Microsoft?Shared\\X.bat文件用。執行DOS入侵命令在用戶的電腦上創建擁有更大權限的系統登錄賬戶Guest。

第6組dwCmdMsg=0x458的控制操作：

創建線程用于獲取當前病毒進程資源類型為RT_RCDATA且資源名稱ResourceName?=?0x69=105的資源數據，創建"Message.exe"文件然后運行該病毒文件Message.exe創建病毒進程。對于病毒文件Message.exe，后面詳細分析。

第7組dwCmdMsg=0x7的控制操作：

對于控制命令"7"，應該比較熟悉了吧。前面的病毒分析中提到病毒母體resvr.exe感染文件產生的衍生病毒會發送命令數據"7"。具體的病毒行為是對病毒作者client端或者病毒母體resvr.exe感染文件產生的衍生病毒client端發送的"7+文件路徑"中指定文件路徑的.doc、.xls、.jpg、.rar格式的文件進行感染處理即對感染病毒作者或者衍生病毒指定的.doc、.xls、.jpg、.rar格式的文件進行感染。

第8組dwCmdMsg=0x452的控制操作：

向0x451中在用戶桌面右下角創建的彈窗對話框投遞WM_CLOSE消息，用以關閉在用戶桌面右下角創建的彈窗對話框。

?

第9組dwCmdMsg=0x454的控制操作：

創建線程用于創建"C:\\Program?Files\\Common?Files\\Microsoft?Shared\\X.bat"文件并運行X.bat文件退出?Guest系統登錄賬戶。

0x3釋放的病毒文件Message.exe的分析

彈一個MessageBox的對話框，然后創建X.bat文件刪除病毒進程文件Message.exe自身，退出病毒進程。

截圖太多，排版看起來比較亂，個人筆記而已。

說實話，對于一份病毒分析報告而言，寫的太詳細不是好事。對于看病毒分析報告的小白來說，你寫的越詳細，意味著他看的越迷糊。病毒分析報告不是為了炫耀，只要像360的分析報告一樣，簡潔將病毒行為說明白即可。對于病毒的逆向，當然，IDA的偽代碼質量比較高就看偽代碼，不要為了顯示自己很牛掰，搞些匯編的截圖過來，因為那說明不了什么，工具的作用是為了提高效率不是為了炫耀。

總結

以上是生活随笔為你收集整理的一个感染型木马病毒分析（二）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。