生平在看雪的第一篇帖子，本人小菜，就拿一简单病毒入手，大牛们见笑....

病毒信息：
病毒类型： 后门
文件 MD5： 2A1AEF106795864CA9DB643A116807DC
加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

病毒行为：

释放文件：
c:\WINDOWS\Fonts\wuauclt.exe

病毒行为：
1.  提升自身权限;
 
2.  加载urlmon.dll，得到URLDownloadToFile函数的地址.调用函数下载病毒文件http://360.1s.fr/ps.jpg到c:\windwos\fonts\gern.fon目录下。
 




 

 
3.  在c盘根目录下生成sa.exe文件，设置文件为文件夹样式并设置为隐藏属性。运行sa.exe，然后调用CMD命令结束wuault(系统自动更新)进程，然后将病毒本身拷贝到system下的font目录中并重新命名为wuault.exe。病毒运行font目录下的wuault程序后，调用cmd命令删除自体。

 
0012FBFC   0040247E  ~$@.  /CALL 到 WinExec 来自 dumped_.0040247C
0012FC00   0012FF20   .  |CmdLine = "cmd /c del "C:\Documents and Settings\commander\桌面\dumped_.exe""
0012FC04   00000000  ....  \ShowState = SW_HIDE
0012FC08   7C930738  8   ntdll.7C930738
4.将病毒信息保存在c:\windows\font\gern.fon文件中，从这个文件中读取信息并设置为IE首页。

 
5.开启1083端口等待网络连接..



附件：样本文件及加壳后文件。。因为是病毒所以加了密码，解压密码为：xiaoju

上传的附件

样本.rar