这是前几天说的那个病毒,今天找到个分析工具,大致记录一下。

使用的软件是SISXplorer,一个.NET程序,安装后即可使用。打开sexyspace.sisx可以看到它是一个名为Sexy Space的EInstApplication安装程序,程序被签名,制作厂商指明为“XinZhongLi TianJin Co. Ltd.”(天津信中立科贸有限公司),制作日期为“2009-6-17  7:23”。

程序会释放文件到
c:\sys\bin\Installer_0x20026CA6.exe
c:\sys\bin\AcsServer.exe
c:\private\101f875a\import\[20026CA5].exe

包含如下安装脚本
EOpRun( EInstFileRunOptionInstall; EInstFileRunOptionWaitEnd, "c:\sys\bin\Installer_0x20026CA6.exe" );
EOpRun( EInstFileRunOptionInstall, "c:\sys\bin\AcsServer.exe" );
EOpInstall( "c:\private\101f875a\import\[20026CA5].rsc" );

释放的exe使用IDA载入后提示
; File Name   : C:\1_AcsServer.exe
; Format      : EPOC Executable Image
; Version     : 2.0.505
; Priority    : 350 (Foreground)
; EPOC Version: 9

不过底下的内容和Windows下的汇编代码完全不同,我就看不懂了,无法继续了。