行为

可以看到病毒图标伪装成word文档，不过后缀是exe

 

运行前

 

 

运行后基本上文件都删除了，

 

行为过程分析

用IDA打开可以看到，main函数就调用了一个函数，我们直接跟进去

 

 可以看到，程序首先进行循环，用GetDriveType函数来确定磁盘是可移动媒体(U盘之类)或者是硬盘，这里从z一直递减检测到a，因为有些人的磁盘可能并不是c、d、e、f，所以对所有可能进行检测。

 

 

 如果检测到是以上的两种磁盘，就运行cmd.exe /c format %s /q /y，其中/c是执行命令后结束，format %s就是格式化那些检测到的磁盘，/q是禁止回显，/y是禁用cmd命令扩展(不知道使用/y的目的)

 

 

经过上面之后，再进行一次检测，也是从z到a对磁盘进行检测，然后进入sub_4011B0这个函数，这个函数也是进行遍历并删除的操作

 

在sub_4011B0中使用FindFirstFileA对存在的磁盘进行遍历，通过加上\*.*对所有文件进行查找，在查找文件时首先判断是否为文件夹，是的话判断文件夹是否为空，一直遍历出所有文件出来，然后使用DeleteFile对文件进行删除，不过不会删除文件夹。

 

 

 总结

这个恶意软件挺简单的，就是删除磁盘而已，这里记录一下，分享一下自己的分析过程，没有写过系统的分析报告，这里可能写的有点粗糙。一句话总结，这是一个好用的磁盘删除工具哈哈哈哈。。

 

样品

这里就发IDA7.0分析出来的idb，大家可以用IDA自己分析一下。