0101分析

这里可以查看到时间戳

如上图，使用PEiD可以侦测壳，发现这个DLL和EXE都是无壳的，VC++6.0编译的

接着使用IDA对代码进行简单的静态分析

先分析DLL：

OpenMutex和CreateMutex说明是多客户端

CreateProcess说明在远端的服务器有在本地开启进程的权限

这里可以看到恶意代码服务端的IP地址：127.26.152.13

再分析EXE：

查看Imports表：

CreateFile：在本地创建文件的权限

CopyFile：在本地复制文件的权限

FindFirstFile和FindNextFile：在本地查找文件

注意看清楚：kernel和kerne1！

所以合理猜测：恶意代码的行为可能是，遍历本地所有目录，找到kernel32.dll，并做kerne1.dll的替换，从而控制本地机器。

0102分析

还是一样，先查壳：upx

如何脱UPX壳在这个专栏有，就不重复了

拖壳后用IDA打开，发现：InternetOpenUrl和InternetOpen两个函数

OpenSCManager，函数建立了一个到服务控制管理器的连接，并打开指定的数据库

可见该恶意代码操作了本地去访问一个远程的恶意网站，且可能对本地数据库进行了更改

查壳：FSG1.0

脱壳后，IDA打开分析

运行该恶意代码，会自动打开红线所标注的网页（一旦这个网页中含有其他的恶意代码）

0103.exe相当于是个被动攻击跳板，受害者点击该程序，就会跳转到另一个恶意代码地方

无壳，用IDA进行下一步分析

wupdmgr.exe是 windows updatemanger 的缩写，是自动升级的程序，存在于c:\windows\system32下，被删除或被重命名后能立即自动生成。

psapi.dll是Windows系统进程状态支持模块。

函数4011FC：

GetWindowsDirectory是一个函数，用以获取Windows目录的完整路径名。

GetTempPath是程序代码，用于获取为临时文件指定的路径。

MoveFile是一种函数，功能是移动文件。

函数4010FC：

GetCurrentProcess是一个函数，返回值Long，当前进程的伪句柄。

OpenProcessToken，函数用来打开与进程相关联的访问令牌。

LookupPrivilegeValue函数查看系统权限的特权值，返回信息到一个LUID结构体里。

AdjustTokenPrivileges是一种函数，用于启用或禁止，指定访问令牌的特权。

函数401000：

ADVAPI.dll导入的函数，表明程序在做一些与权限有关的事情，WinExec和WriteFIle表明程序会写文件到磁盘上，然后执行

urlmon.dll是微软Microsoft对象链接和嵌入相关模块。通常情况下是在安装操作系统过程中自动创建的，对于系统正常运行来说至关重要。在正常情况下不建议用户对该类文件（urlmon.dll）进行随意的修改。它的存在对维护计算机系统的稳定具有重要作用。