行为
可以看到病毒图标伪装成word文档,不过后缀是exe
运行前
运行后基本上文件都删除了,
行为过程分析
用IDA打开可以看到,main函数就调用了一个函数,我们直接跟进去
可以看到,程序首先进行循环,用GetDriveType函数来确定磁盘是可移动媒体(U盘之类)或者是硬盘,这里从z一直递减检测到a,因为有些人的磁盘可能并不是c、d、e、f,所以对所有可能进行检测。
如果检测到是以上的两种磁盘,就运行cmd.exe /c format %s /q /y,其中/c是执行命令后结束,format %s就是格式化那些检测到的磁盘,/q是禁止回显,/y是禁用cmd命令扩展(不知道使用/y的目的)
经过上面之后,再进行一次检测,也是从z到a对磁盘进行检测,然后进入sub_4011B0这个函数,这个函数也是进行遍历并删除的操作
在sub_4011B0中使用FindFirstFileA对存在的磁盘进行遍历,通过加上*.*对所有文件进行查找,在查找文件时首先判断是否为文件夹,是的话判断文件夹是否为空,一直遍历出所有文件出来,然后使用DeleteFile对文件进行删除,不过不会删除文件夹。
总结
这个恶意软件挺简单的,就是删除磁盘而已,这里记录一下,分享一下自己的分析过程,没有写过系统的分析报告,这里可能写的有点粗糙。一句话总结,这是一个好用的磁盘删除工具哈哈哈哈。。
样品
这里就发IDA7.0分析出来的idb,大家可以用IDA自己分析一下。