【IT专家网独家】前几天帮朋友杀毒,杀完毒也顺便把这个病毒抓了回来。今天就对它进行一个逆向分析,看看它到底是如何运行的。
环境说明:一安装有Windows XP的虚拟机。
对象:U盘病毒一只
工具:
PEID(查壳工具)
Ollydbg(动态反汇编工具)
一、诱敌深入,初识病毒
1.这是一个U盘病毒,首先在虚拟机上运行它让自己中毒。中毒后通过任务栏上“安全删除硬件”图标删除U盘,提示“现在无法停止‘通用卷’设备,请稍候再停止该设备”。这是必然的,因为病毒在运行,U盘设备被病毒调用。(图1)
图1
2.下面看看病毒到底在硬盘上创建了哪些文件,因为病毒文件大部分都是隐藏属性,所有先要让系统显示隐藏文件。方法是:打开“我的电脑”,选择“工具”菜单中的“文件夹选项”,在“查看”选项卡的“高级设置”下依次勾选“显示系统文件夹的内容”、“显示所有文件和文件夹”,取消对“隐藏已知文件类型的扩展名”的勾选,这样设置后一般的隐藏文件都现形了。(图2)
图2
3.打开“我的电脑”,进入根目录看看。经验告诉我们这是不要直接双击打开,用鼠标右键点击盘符看到第一项变成了“Auto”(图3)
图3
(一般正常情况下是“打开”),选择“资源管理器”进入磁盘根目录。非常明显在根目录下多了一个文件,一个目录,文件是autorun.inf,目录为RECYCLER,它的图标就是回收站图标,并且都是隐藏属性。进入RECYCLER目录可以看到两个文件,一个为info.exe,另一个为desktop.ini,也是隐藏属性。(图4)
图4
双击打开autorun.inf文件,可以看到如下内容:
| [autorun] auto= open= shell\auto\Command=RECYCLER\INFO.exe shell\open\Command=RECYCLER\INFO.exe shell\open\Default=1 shell\explore\Command=RECYCLER\INFO.exe |
评析:这个U盘病毒很狡猾,首先它把自己隐藏在一个类似“回收站”的图标下,另外,通过autorun.inf达到双击盘符自动运行。
双击打开desktop.ini文件,可以看到如下内容:
| [.ShellClassInfo] CLSID={645ff040-5081-101b-9f08-00aa002f954e} |
评析:把自己的图标改变成“回收站”的图标,更加隐蔽。
