本篇主要内容，反沙箱手段之一，远程下载加载恶意文件。

1.基本信息

主角外表

32位，upx加壳

强迫症先脱壳

舒服了

2.静态分析排查

字符串：可疑文件路径

导入函数：命令执行？下载文件？

3.动态运行分析

进程监视启动

发现网络连接，但是没什么后续了

创建的文件夹但是没下载下来的文件，满眼皆是遗憾

4.IDAPro分析

4.1 反向追踪

大脑开始运转：

MFC程序正常是个GUI界面，但他没有出现gui界面还创建了文件夹，所以创建文件夹这根线肯定是一开始就启动了，直接找字符串去一路跟到最开始调用的地方。

反正一路就到这了

第一个函数，启动线程，但是地址不知道，先别着急，mfc就这样的，各干各的，像异地恋的你和她一样。

4.2 准时反沙箱

进去后是个clock函数，用来计算精准时间，后边睡眠2000毫秒，最后在调用clock确认现在时间，间隔是否在两秒内

反汇编代码（反汇编主要喜欢看就看看，熟练后就知道基本没啥用，仅对样本分析）

函数最后是个！，也就是只有不在两秒内完成才是正常环境，如果2秒内完成则会判定环境有问题不在物理机直接退出。

反汇编代码

4.3 远程下载加载恶意文件

别问我为什么这里都是反汇编，因为有自动注释。

创建路径，C:\Windows\sysWOW64\testnxhz

下载文件并更名到指定目录，C:WindowssysWOW64testnxhztestentixhz.exe

执行下载的文件

SO，文件呢？

看下地址http://222.186.59.253:4159/yuyebai.txt

那既然都被拉黑了那就不分析了，下课。

原文始发于微信公众号（初遇红尘）：敷衍的写一篇病毒样本分析