對于一個病毒來說，”Anti-AntiVirus”是一個很重要的指標，如果不能做到很好的免殺效果，那么這個病毒存活的時間就必然不會很長。而對于殺毒軟件來說，如何正確的識別并解析出進行過各種偽裝的病毒，也一直是一個難題。

　　剛拿到這樣樣本的時候，查了一下文件類型，是個PNG格式，還以為是一個傳統的圖片馬，里邊被嵌入了PHP或者ASP的一句話木馬，后來發現并不是，這是一個zip壓縮包，只是被病毒作者加上一個0x78byte大小的PNG文件頭，這種技術看似很土，很簡單，但其實可以起到很好的免殺效果，因為它會導致殺毒引擎對文件格式解析時出錯，使得真正的病毒體不被檢測到。

　　我們切去PNG文件頭或者使用binwalk等工具可以獲得一個zip壓縮包。使用壓縮軟件解壓之后其目錄結構如下：

　　下圖是原樣本與切去PNG頭部之后的樣本在VirusTotal上面的檢出率：

　　原樣本：(SHA256:e098487b1e76025973a5cb2ca194715c190e8d42ad07076752da309610cd79e3)

　　切去PNG頭部之后：(SHA256:c1bac0053df5b64bf886f58267352a29c9d0c08e32a1b0ce037fbbb698f6bf74)

　　PP:下面對解壓后的各文件進行分析

　　(1)Project deion.lnk

　　一個跟文件夾圖標一樣的快捷方式，指向Project_deion文件夾，并且在”目標”位置確嵌入了一段腳本，只要雙擊這個鏈接，就會啟動病毒thumbs.db并隱藏文件夾Project_deion，而且會刪除這個快捷方式，使得這個病毒問題難以追查。目標初代碼如下：

　　C:\Windows\System32\cmd.exe /c start Project_deion/thumbs.db & cmd /c start Project_deion & cmd /c del *.lnk & cmd /c ATTRIB -H Project_deion

　　(2)thumbs.db

　　這是一個dropper，會釋放一個動態鏈接庫，并啟動它，我們稱這個模塊為病毒的釋放模塊，釋放步驟如下：

　　step1.創建互斥量”win32_event_x86″,檢測tcpview，OllyDbg等安全工具，如果檢測到就好退出進程。

　　step2.在系統temp目錄下釋放病毒動態鏈接庫nx00615.ttf。

　　step3.解密啟動病毒動態庫時的命令行和參數。并創建一個進程啟動動態庫。至此，病毒釋放過程結束。

　　(3)nx00615.ttf

　　這一部分是病毒功能模塊，Windows defender security intelligence給出的分析如下：

　　“This trojan connects to an attacker-controlled forum, blog, or profile webpage on legitimate websites in order to retrieve embedded information about command-and-control (C&C) to be used in the next stage. The C&C information is in encoded form.

　　This behavior makes this threat a multi-stage remote access trojan. The technique, sometimes referred to as “dead drop resolver technique”, is used by malware authors to make the initial network activity look like legitimate network traffic. This technique is also used to hide the actual C&C address in a webpage controlled by the attacker. This means that the attacker can update the C&C address anytime.

　　It then attempts to establish connection with the C&C node.”

　　以下是我對這部分的分析：

　　step1.病毒啟動后會先檢測thumbs.db創建的互斥量，并且通過IsDebuggerPresent()函數判斷是否處于調試環境，當檢測到異常時，就會退出病毒進程。

　　step2.病毒會注冊一個窗口類”TestWClass”作為與其他組件進行通信的機制。lpfnWndProc指向病毒體virus_body，virus_body會處理窗體傳入的windows消息，并將其發送給C&C服務器。

　　step2.設置自啟動項?？梢钥吹接昧朔崔D字符串的方式來起到一個免殺的效果，因為自啟動一般是每個殺軟都比較重視的地方?！　?/p>

　　最后附上一張火絨劍的行為監控圖，作為收尾：

　　小結

　　其實本文中病毒使用到的幾種免殺技術都不是很新，很高深的，但卻很實用，在免殺效果方面出人意料的好，我不禁想問在座的各位，是病毒太牛逼，還是殺軟太垃圾？

責任編輯：韓希宇