今天（也不是今天了，今天才发现的）查毒，发现电脑感染了Virus.Win32.Agent.P病毒，几乎我电脑中的exe被感染了个遍。我提取了一个病毒exe样本，在虚拟机里开始分析。

（碰到感染性病毒还是罕见，不过这也很好玩）

一、病毒行为
病毒会扫描电脑中的exe和rar文件，然后进行感染。exe就是修改oep，插入一段shellcode来引导主程序优先创建病毒主体。rar不清楚怎么感染，丢一边了w。

执行到病毒主体后会去黑客官网下载文件（不过现在网站出问题了好像，啥都下不下来），猜测是灰鸽子之类的远程控制监督的程序，也有可能是开矿。

下面详细跟踪病毒行为。

二、详细行为
比较关键的一个函数就是sub_401638：

这里可以跟进StartAddress看看：

很明显，病毒首先创建链接，下载病毒附属程序，随后保存在本地，然后执行。现在这里什么都下不下来，只有在CreateFileFromDownloadFile里面创建的MZ头，所以WinExec是失败的。

接下来看看感染主函数。这也是这个病毒的关键

继续跟进。

这里判断盘符，并传给402b7D。跟进。

由于词穷（喂），我省略了不重要的部分。

我们跟进sub_4028B8。

来到这就清晰了。这个病毒会感染两种文件，一种是exe，一种是rar。rar的感染不太清楚。我们看exe的感染：

其实上面一大堆，其实真正要注意的事这个函数。因为这个函数就是感染exe的shellcode。

这个shellcode采用hash的办法获取API地址，然后加载运行。

三、尾声
这是我第一次写病毒解析，如果有不好的地方多多指教。

不过也是遇到这个病毒比较简单，虽然是感染性病毒……

不过分析这个还是很有乐趣的一件事吧。