国内资深黑客浅谈恶意代码的研究分析

核心提示： 协议：TCP域名或IP地址：www.163.com (202.108.9.34)端口：80对目标主机的操作：通过QQ代理进行访问www.cache.split.netease.com协议：TCP域名或IP地址：www.sohu.com (61.135.188.65)端口：80对目标主机的操

协议：TCP

域名或IP地址：www.163.com (202.108.9.34)

端口：80

对目标主机的操作：通过QQ代理进行访问www.cache.split.netease.com

协议：TCP

域名或IP地址：www.sohu.com (61.135.188.65)

端口：80

对目标主机的操作：通过QQ代理进行访问www.pagegrp7.a.sohu.com

协议：TCP

域名或IP地址：www.google.com (64.233.189.99)

端口：80

对目标主机的操作：通过QQ代理进行访问www-china.l.google.com

……

病毒感染后，带有QQ尾巴的功能，能通过QQ代理访问上述网址。

◆通过静态分析调式，进一步分析病毒的一些特征行为。样本中病毒释放后，病毒体为spo0lsv.exe文件，因此需要对此病毒做壳的侦查及脱壳工作（略过）。通过IDA静态分析工具分析脱壳后的spo0lsv.exe样本，如下图所示：

通过观察“strings”窗口，可以初步分析样本的一些情况。如可以看出样本是用Delphi语言编写的等等。通过观察“Imports”窗口中的API函数，可以看到系统调过了一些网络行为的API函数，如InternetOpenUrlA、InternetOpenA、URLDownloadToFileA等函数。结合反汇编代码分析，可以看出病毒会关闭的杀毒软件有VirusScan、NOD32、Symanter AntiVirus、Duba、System Safety Monitor、Wrapped gift Killer、游戏木马检测大师、超级巡警、IcdSword等等。病毒会删除系统的共享文件：

cmd.exe /c net share

$ /del /y

cmd.exe /c net share admin$ /del /y

遍历盘符在各分区和移动存储介质中释放隐藏病毒文件和autorun.inf，使用Windows自动播放功能来传播病毒；以批处理的形式将病毒原文件删除。

◆通过动态分析调式，使用OllyDBG工具进行调式，进一步分析样本的操作行为。通过跟踪调式，发现样本可以使用API函数URLDownloadToFileA将其他病毒程序下载到本地并运行，样本中带有下载病毒文件的地址，但在程序中没有激活，所以没有真正下载的动作。本病毒包含原来的熊猫烧香病毒的特征以及金猪报喜的特征。

最后要把分析过程中的结果形成相关的恶意代码分析报告，收集恶意代码的样本、释放的文件、以及网络行为的数据包，并对恶意代码进行命名规范，而且还需要对样本使用MD5进行完整性校验。

本文主要说明恶意代码及其相关的分析研究流程，至于通过逆向工具具体分析恶意代码的操作实验步骤，叶子将在以后的文章中做进一步的介绍。