近期，火絨工程師發(fā)現(xiàn)針對國內(nèi)企業(yè)投放病毒的威脅事件，經(jīng)排查分析后，確認為后門病毒，主要通過釣魚郵件進行傳播，其會偽裝成 Word 文檔來誘導用戶打開。

偽裝成W ord 文檔的病毒樣本

當用戶被誘導點擊運行病毒后，黑客可通過 CC 服務器下發(fā)各類指令來執(zhí)行各種惡意功能，如：惡意代碼注入、利用開機自啟來進行持久化操作、獲取系統(tǒng)進程信息等惡意功能。不僅如此，該病毒還會使用多種手段（控制流混淆、字符串混淆、 API 混淆）來躲避殺毒軟件的查殺。

病毒的執(zhí)行流程，如下圖所示：

病毒執(zhí)行流程

對此，火絨安全提醒用戶不要輕易點擊來歷不明的郵件附件，火絨安全產(chǎn)品可對該病毒進行攔截查殺。

展開全文

查殺圖

一

樣本分析

0 1

混淆手段

該病毒啟動后會率先執(zhí)行一段 shellcode ，相關代碼，如下圖所示：

執(zhí)行 shellcode

在 shellcode 中使用多種手段來對抗殺毒軟件的查殺，如：控制流混淆、字符串混淆、 API 混淆等?？刂屏骰煜缦滤荆?/p>

控制流混淆

字符串混淆，每個字符串使用時，動態(tài)進行解密，并且每個字符串都有單獨的解密函數(shù)，不同字符串解密函數(shù)對比，如下圖所示：

不同字符串解密函數(shù)對比

API混淆，在shellcode中會將用到的API地址加密并保存，使用時動態(tài)解密出來，如下所示：

加密API地址

使用API之前會動態(tài)進行解密，利用位運算特性，每次解密的方法不同，但是結(jié)果一致，如下圖所示：

不同解密方式

0 2

惡意行為

獲取本機的信息（用戶名、計算機名、系統(tǒng)版本等）并發(fā)送給CC服務器，如下圖所示：

發(fā)送上線包

黑客可通過CC服務器下發(fā)命令來執(zhí)行各種惡意功能如：執(zhí)行任意CMD命令、下發(fā)任意惡意模塊、進程注入、獲取系統(tǒng)進程信息、持久化等惡意功能，以下進行分析。

啟動進程，該功能常被用于執(zhí)行CMD命令，可執(zhí)行CC服務器下發(fā)的任意的惡意命令，相關代碼，如下圖所示：

啟動進程

該樣本具備多種注入手段，一利用傀儡進程將惡意模塊注入到其他進程中執(zhí)行；二利用遠程線程來在其他進程中執(zhí)行惡意代碼，傀儡進程注入，相關代碼，如下圖所示：

傀儡進程注入

遠程線程注入，相關代碼，如下圖所示：

遠程線程注入

獲取系統(tǒng)進程信息，相關代碼，如下圖所示：

獲取系統(tǒng)進程信息

獲取指定目錄文件信息，相關代碼，如下圖所示：

遍歷目錄文件

可通過添加服務來進行持久化，相關代碼，如下圖所示：

持久化