1.1、第一问  

问题：样本如何实现驻留的

静态分析：

String.exe查看字符串，得到url链接。

         

Dependency查看导入函数，CoCreateInstance、OleInitialize函数是与COM相关。

动态分析：

运行样本，打开Internet Explorer访问“http://www.malwareanalysisbook.com/ad.html”。

         

将样本拖入IDA分析。在main函数中，调用OleInitialize、CoCreateInstance函数，获取COM对象保存在堆栈上。

为判断程序在使用什么COM功能，查看iid与clsid对应的值。其中riid值为D30C1661-CDAF-11D0-8A3E-00C04F0C90E26E；rclsid值为0002DF01-0000-0000-C000-00000000000046。通过查询iid对应的是IwebBrowser2，clsid对应的是Internet Explorer。

CocCreateInstance函数返回的COM对象在地址0x00401074处调用，IWebBrowser2接口。

调用后结束程序。

当遇到如此简单的程序时，应该考虑的是他可能随额外的恶意代码一起打包，他只是其中一个组件。

样本未实现持久化驻留

1.2、第二问  

问题：样本的功能是什么

程序的目的是打开Internet Explorer访问URL

1.3、第三问  

问题：样本的执行流程是什么

访问Url后就结束。

         

原文始发于微信公众号（网络黑箱）：恶意代码分析实战-015 Lab 7-2