今天在告警監(jiān)測(cè)平臺(tái)上看到一條告警，顯示某源地址訪問(wèn)惡意域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
接著就聯(lián)系客戶(hù)，準(zhǔn)備上機(jī)排查一下，最終找到了相關(guān)樣本，接下來(lái)就對(duì)樣本進(jìn)行初步分析首先用PEinfo查看一下基本信息
 
PEID收集基本信息：大概查看一下該惡意軟件使用了哪些windowsAPI函數(shù)，方便后續(xù)分析。

將惡意軟件拖進(jìn)IDA后沒(méi)有直接從函數(shù)入口點(diǎn)開(kāi)始分析，而是直接從Import導(dǎo)出表開(kāi)始，這樣分析的更快一些。
 
去獲取主機(jī)的相關(guān)信息
 
建立了網(wǎng)絡(luò)連接，并去訪問(wèn)域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
 
  mssecsvr.rar (1.98 MB, 下載次數(shù): 10) 

在C:\windows\下面又創(chuàng)建了一個(gè)新的進(jìn)程tasksche.exe
 
如果C:/Windows/tasksche.exe存在，mssecsvc.exe將其更名為C:/Windows/qeriuwjhrf
 
以上就是對(duì)該惡意軟件的一個(gè)簡(jiǎn)單分析。