emmmm，刚入门的小白一个和VirtualCC一起分析了这个病毒，最近也是突然又爆发的一个病毒

样本：PO# 09012020Ex.doc

流程：

获取了文档

打开宏恶意代码应该开始执行了，alt+f11

调试提取一下powershell

-e表示它接受命令的base64编码的字符串版本

变量On4491p是我们的URL列表

邮件中下载的一个附件，样本通过virtual alloc下断可以看到对内存的一个操作

flprotect 是0x40

可读可写

发现通过一个类似于RC4的动态解密第一次

把动态解密的

2048个，解密出来的东西dump出来，再次放入ida中
标准的RC4解密

这次还会进行动态解密，但是解密出来的结果中有一个PE文件，直接DUMP出来了

可以看到没有导入表

这里运用了hash值，shellcode的一个手段，这样就很难去看出来api是什么，在sub_40481D之间运用了平坦化大量的switch case来干扰我们的判断，类似于ollvm的平坦化，但是OD中有ODScript脚本

看这些api应该就知道了所有的一个流程

我们回到原来的dump文件看看都干什么了一个流程：

申请我们拉伸后的空间：

入口点：

那么在这里开始执行我们的一个操作：
一般通过hash值加密的，可以直接动调去看，返回值在EAX中，我们直接动态调试

拷贝了可执行程序到C:\Windows\SysWOW64下，文件夹和文件都是随机的，两个文件是一样的

把我们的当前的exe注册为服务，启动类型自动保持exe一直存在，对应OD就是：（因为再次测试的时候会跟之前的有些不同，所以图片对不上名字）

调试服务（方法）：

找了很多帖子方法，找到了怎么调试服务记录一下，方便以后去用 https://bbs.pediy.com/thread-229643.htm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options

修改启动服务时间

在原来的exe跑ODScript

查看到HTTP相关服务的API：

我们request时候线程的停止需要我们激活所有的线程

了解了流程之后，我们看一下encrypt传了什么，可以看到传了本机的用户名，以及文件的信息，到服务器端

使用了RSA和AES算法上传到服务器

InternetReadFile：

同样他会下载东西到本机里，这里可能C2服务器已经失效，文件的大小是0

C2服务器 通过硬编码的方式，和C2服务器进行交互：

C2 服务器地址：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)