• 我们在哪一颗星上见过 ,以至如此相互思念 ;我们在哪一颗星上相互思念过,以至如此相互深爱
  • 我们在哪一颗星上分别 ,以至如此相互辉映 ;我们在哪一颗星上入睡 ,以至如此唤醒黎明
  • 认识世界 克服困难 洞悉所有 贴近生活 寻找珍爱 感受彼此

恶意代码样本分析:incaseformat

恶意代码样本分析 云涯 3年前 (2021-01-18) 1571次浏览

1 样本概述

 

文件名 tsay.exe
MD5 1071d6d497a10cef44db396c07ccde65
时间戳 2013-03-19 07:49:56
文件大小 449 KB (460,288 字节)
是否加壳
数字签名
VT检出率 66/ 70

 

2 样本分析

将自身复制到%windir%/tsay.exe,并修改注册表设置开机自启以达到维持目的。

设置隐藏窗口

定时器1:

枚举磁盘C~Z,当磁盘介质为可移动磁盘或硬盘时,将其加入到链表中。因此该病毒也可以通过移动磁盘进行传播。

枚举链表根目录文件和文件夹,保存在链表里。

寻找非系统文件,并将该文件夹设置为隐藏属性后,将自身拷贝为“该文件名.exe”。

定时器2:

获取当前时间,在2009年3月份之后的1、10、21、29日删除磁盘下的文件和文件夹。

但是由于样本中DateTimeToTimeStamp 函数中 IMSecsPerDay 变量(一天的总毫秒数)的值错误,导致计算当前时间错误,直到2021年1月才被计算为2010年4月,病毒开始爆发,开始删除文件。

定时器3:

修改注册表,取消显示隐藏文件与系统文件。

定时器4:

遍历磁盘,在根目录下创建incaseformat.log文件。


云涯历险记 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:恶意代码样本分析:incaseformat
喜欢 (0)