前言

偶然找到一个白加黑的样本，尝试进行分析，看看是如何运行的。
先放个自己做的样本的流程图吧。

文件前期整理分析

文件夹内有3个文件，前两个是隐藏文件，而且虚假后缀为 .bmp 的文件类型是快捷方式，所以判断这几个文件应该是有猫腻的。

使用 HIEW 对截图.bmp文件进行查看，发现它会调用 rundll32.exe 来加载 reg.dll。

运行截图.bmp文件，会弹出一个 DNF价格表.jpg，使得用户误以为截图.bmp文件是无毒的，然而一个后缀是.jpg，一个是.bmp(实际是.lnk，一般用户都不把文件后缀打开，所以本文暂时将.lnk文件看成是.bmp吧)

利用火绒剑监控 rundll32.exe 进程，来查看它调用的程序。发现恶意程序会调用隐藏dll及隐藏文件夹中的dll。

在进程中发现了有趣的进程出现，QQGame.exe，而我的电脑里可没装这个优秀平台的。

有个 dllhost.exe 的进程也创建了QQGame.exe。对进程所在的文件目录进行查看，发现有这些可疑文件。大小很可疑，像隐藏文件夹中的一些文件。

对所有可疑文件进行整理，整理出一个表格，更容易辨别吧。文件的签名可以使用微软的签名查看工具 sigcheck.exe 来查看。

通过这个表，只需要分析几个恶意样本就可以了。

根据 截图.bmp.lnk 文件内容，先分析 Reg.dll。

执行流程分析

当用户点击 .bmp 文件时，会使用 rundll32.exe 来调用 Reg.dll 文件。

在 Reg.dll 文件的字符串中，找到 中国建设银行安全检测工具、华大智宝 等字符串，可能是一个安全检测工具所需的dll，也可能是恶意的。

也找到了 HD_Comm.dll 这样的字符串，有理由怀疑是调用 HD_Comm.dll 这个恶意文件。

在字符串中找到Config.dat这样的字符串，应该也是调用这个恶意文件。wow_helper是Config.dat文件中的导出函数。

对代码进行了分析，基本上确定 Reg.dll 文件是一个跳板文件，就不进行动态分析了。

HD_Comm.dll

查看 HD_Comm.dll 文件的导出表，导出了好多函数，可能是在正常的 HD_Comm.dll 文件中加入了恶意代码。

通过创建互斥体，来确保只运行一个恶意程序。

将 HD_Comm.dll 复制到 dat\TenioDL_core.dll 中。

最后运行 Au.exe 文件。

Au.exe

运行了 Au.exe 文件，发现跳出来DNF价格表的图片，这不就意味着恶意程序已经运行了嘛，可我明明撒都没干呀。

看了看 Au.exe 的字符串，原来它会调用 TenioDL_core.dll 这个DLL，然后恶意程序就运行了。

Config.dat 分析

010打开文件看到文件前面多了一个字节，去掉进行分析。

发现LoadPE无法识别，Config.dat还不是一个标准的PE文件，猜测可能需要对其进行解密，回到HD_Comm.dll 用Config.dat的地方继续分析。

发现 sub_100016B0 函数中很像解密的操作。

[注意]看雪招聘，专注安全领域的专业人才平台！