一次失败的银狐病毒样本分析

样本基本信息：
银狐组织的木马病毒（银狐病毒）

样本的主要行为是从一个可疑的地址下载文件并执行

通过对其网络连接以及流量抓包可知，该程序下载了5个文件

其实，直接通过分析病毒样本，也可以发现该下载行为，从指定的url处分别下载一个exe,一个dat,一个jpg，一个xml，所以这个所谓的“财会人员薪资补贴调整新政策所需材料.exe”文件其实为为木马释放器，并非为直接木马

下载下来以便进行进一步的分析，其中文件2是一个压缩包，尝试解压发现需要密码

继续分析其他下载下来的文件，尝试寻找压缩包密码，在文件1中发现了upx加壳

解壳之后继续进行分析，原来这个文件1叫tu_rt.exe; 此程序为白文件实际是NetSarang系列工具更新程序

并且在分析的时，通过使用字符串搜索，搜到一个类似于密钥的数字字母字符串

尝试拿去进行解压压缩包，成功解压

通过strings读取_TUProj.dat，发现开头插入了病毒脚本，不过dat里面的shellcode看不懂是干啥的 就没再往下分析

回归到病毒本身，程序运行后会检测360程序，有360程序则会弹框，并退出程序执行

因为技术太菜，exe静态分析分析不动了，希望有大佬可以指点一下小弟，毕竟小弟只是练习两年半的实习生😫

下面就水一下凑凑数吧，病毒带的一些ico和行为交互

end.