简单的病毒分析记录

起因

闲来无事找神器，看到一个牛逼的东西，好奇心驱使下载了下来

启动程序看起来好像没事功能看着挺牛逼的，总感觉有猫腻，处于心理猜测于是看了下进程信息，这里就得说一下经常看进程信息的好处了，嘿嘿不说100%吧，至少90%进程我还是可以确定到底是啥的，果然不出我所料，还真就有个可疑进程，于是定位文件，定位不到，哟呵还隐藏了文件，查看进程详细信息从创建时间确认了就是这玩意的后门，这他喵直接上火绒，还好火绒没让我失望。

风险路径：C:\Program Files (x86)\Dog.pif, 病毒名：HEUR:Trojan/Fake.j, 病毒ID：55f6091d0056c11e

具体分析

既然已经完全确定是后门了，首先就把它的进程全部k了，火绒隔离提取出来后反手就是一手IDA，喵的还加了VMP壳。

不过从识别出来的字符串也可以看出这玩意在搞事情啊，直接一手微步上传。

执行流程

网络行为

猜测HTTP请求可能是拿QQKey，从Hosts可以看出这摆明了一个CS马啊。。。。

处理

netstat或者火绒之类的看一下网络连接，看看有没有可疑，查看有没有可疑服务，这些火绒剑即可。

结语

还好鄙人经常裸奔比较注意电脑任务进程等以至于电脑上大部分进程名已熟悉得以快速定位。