通过相似度搜索(API特性)，找到与474021c030296d57b9989f0d5e7268b0最相似度病毒如下，从动态API调用来看，这些病毒样本完全相同，但是却拥有不同的md5值，说明有些地方做了修改。
<pre>
(u'57ec20220f1d2f210cb7d09a6006ffb2', 1.0)
(u'474021c030296d57b9989f0d5e7268b0', 1.0)
(u'b5d58ae0c45789e81435591b94ece226', 1.0)
(u'39a6fa3a4f02021f7fa1099cbb8b0878', 1.0)
(u'a27c5cde1fe112d516c09802ea5a7073', 1.0)
(u'c00ef9decbb21b18556b343762008160', 1.0)
(u'51ab5cf8c647276f397d79e269e53c24', 1.0)
(u'79db8c075241b2a2d3bb3688e5b57e19', 1.0)
(u'00f04b3f1cc247992bcfca92f1e20643', 1.0)
</pre>

通过对比相似的样本可以有以下好处

1. 找到免杀率较高的病毒

<pre>
total: 9
57ec20220f1d2f210cb7d09a6006ffb2 None
474021c030296d57b9989f0d5e7268b0 43
b5d58ae0c45789e81435591b94ece226 45
39a6fa3a4f02021f7fa1099cbb8b0878 24
a27c5cde1fe112d516c09802ea5a7073 42
c00ef9decbb21b18556b343762008160 45
51ab5cf8c647276f397d79e269e53c24 41
79db8c075241b2a2d3bb3688e5b57e19 39
00f04b3f1cc247992bcfca92f1e20643 26
</pre>

上面这组数据表示各个样本在VT上的病毒率，有些报毒量高达45，低的只有24，有一个没有在病毒数据库中出现。

<pre>

• (u'Artemis!51AB5CF8C647', 1)
• (u'Artemis!A27C5CDE1FE1', 1)
• (u'Artemis!B5D58AE0C457', 1)
• (u'Artemis!474021C03029', 1)
• (u'Artemis!00F04B3F1CC2', 1)
• (u'Generic PWS.y!1ln', 1)
• (None, 1)
• (u'RDN/Generic PWS.y', 1)
• (u'Artemis!C00EF9DECBB2', 1)
  </pre>

上面这组是McAfee的查杀结果，其中一个是None，说明过了McAfee免杀。 我们通过比较这两组数据，找到过了很多杀毒软件的样本。可以将样本进行逆向，以及二进制层面的对比，分析样本是如何进行免杀的。

2. 找到一些共同的行为特性

<pre>
Signature
(u'The executable is compressed using UPX', 9)
(u'One or more processes crashed', 9)
(u'File has been identified by at least one AntiVirus on VirusTotal as malicious', 8)

Directory_enumerated
(u'C:\Documents and Settings', 9)
(u'C:\Documents and Settings\Administrator', 9)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp', 9)
(u'C:\Documents and Settings\Administrator\Local Settings', 9)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\tmpfile.exe', 9)

File_created
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp', 9)
</pre>

以上数据是签名，目录枚举，文件创建的部分数据，后面表示有这个特性样本的数量特性。 这里就可以确定到此类病毒一定会使用的文件名，目录等特征。

3. 找到一些差异，总结规则

<pre>
File_created
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp', 9)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\xqkkqsk', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\hwdfdod', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\eqdgnzw', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\mefjihn', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\bidrgth', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\zejbdqr', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\nbvsaoh', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\ppuwgie', 1)
(u'C:\Documents and Settings\Administrator\Local Settings\Temp\ezopifh', 1)
</pre>

上面是一组完整的文件创建数据，如果只有一个样本，可能会将\Temp\aut6.tmp 和\Temp\xqkkqsk加入到防护规则中。而其实xqkkqsk 是随机生成的文件名，通过多个样本对比就可以知道这一随机特性，并总结出相关的正则，即在Temp目录下的7位随机小写字母组合。更全面的进行病毒查杀，清理，防护。

4.通过访问URL的形式，分析产生来源

<pre>
(u'phplinkspro.cu.cc', 1)
(u'hirgudu.freeddns.com', 1)
(u'twegw.ns3.name', 1)
(u'zdcxz.myz.info', 1)
(u'iphonizeme.cu.cc', 1)
(u'twgvw.acmetoy.com', 1)
(u'messageprep.gv.vg', 1)
(u'eztripz.cu.cc', 1)
(u'ifuckedyourgirlfriend.toh.info', 1)
</pre>

<pre>
(u'carboss.no-ip.org', 1)
(u'dast1nga.no-ip.org', 1)
(u'dwight.no-ip.org', 1)
(u'elpida.no-ip.org', 1)
(u'gbin2.no-ip.org', 1)
(u'None', 1)
</pre>

上面是两组是样本对比数据中的域名数据， 第一组形式各异，第二组使用了相同的域名。第二组更有可能是同一个作者开发的没有使用那么广大病毒（no-ip是free DNS，也有可能这个结论是错的）。而第一组更可能是一个通用的远控，由不同的黑客填写不同的控制服务器生成的病毒。

5.其他自有优势

• 通过文件创建信息，找到病毒遗留的文件
• 通过删除文件的信息，捕获临时产生的恶意文件
• 通过签名，找到具体的行为特征
• 找到访问的域名，执行的命令，写入的注册表等信息。