本文主要讲解了对Backdoor.Farfli! 1.64D7的分析和手动处理过程。

此样本来自瑞星安全日报当日最流行木马，该病毒运行后自删除，释放VBS脚本并运行，同时修改注册表。该病毒会记录键盘操作，盗取用户重要文件、账号密码等敏感信息。下面我们简单分析一下这个后门病毒行为。

病毒样本介绍

File：209109966_Oomyszb.exe

Size：5MB

MD5：CCE6BDAC15D683883E39EE1063E4051C

瑞星V16+：Backdoor.Farfli!1.64D7

此病毒样本截图如图1所示，瑞星v16查杀该样本截图如图2所示。

图1：病毒样本

图2：瑞星V16+查杀该样本

病毒样本行为分析

我们这次病毒分析所用工具有processmonitor、SpyShelter Firewall（一款带主防功能的防火墙软件）、smsniff（抓包工具），在运行病毒前，上述三种工具均已在虚拟机里运行并开启捕捉功能。我们在虚拟机里直接双击运行病毒样本209109966_Oomyszb.exe，SpyShelter监控到病毒样本如图3所示病毒行为209109966_Oomyszb.exe（pid：1992）试图注册为系统服务或驱动，对应的程序路径文件为C:\Program Files\Rurvns vkeuc\Oomyszb.exe。

图3：209109966_Oomyszb.exe（pid：1992）试图注册为系统服务或驱动

为了更进一步地分析病毒样本行为，在这里我们直接点Allow（允许），SpyShelter又监控到病毒样本调用系统进程Service.exe将Oomyszb.exe注册为系统服务，如图4所示。

图4：系统进程Service.exe将Oomyszb.exe进程注册为系统服务

这里继续点击Allow按钮，接下来SpyShelter又监控到进程Oomyszb.exe（pid：3736）试图访问网络，如图5所示。