骷髅病毒简单分析

目录一、样本信息二、行为分析三、详细分析四、博客数据：https://pan.baidu.com/s/1EUIguu7YV3pS7F7ej7aDNg一、样本信息1. 样本名称：样本.exe（脱壳后为样本dump.exe）2. md5：5b8bc92296c2fa60fecc6316ad73f1e23. 是否加壳：加壳UPX4. 编译语言：visual C++二、行为分析1. 通过注册表判断系统是否被感染2. 获取windows目录，利用计时器实现随机命名，把病毒copy到windows目录实现隐藏3. 删除样本文件4. 创建服务，实现自启5. 链接指定url，执行后门行为。三、详细分析1. PEID查壳，发现是UPX加壳，ESP定律法脱去2. 病毒先将 currentcontrol\services\ 和15654656链接起来，并且利用RegOpenKey来打开这个注册表。目的是：判断这个服务是否被创建，换句话说看病毒是否在系统内存在3. 如果这个服务不存在，病毒执 ………………………………