分析过程

样本类型：doc

样本利用方式：宏代码利用

原始病毒样本是通过 宏代码利用 然后远程连接c2服务器 进行下载.so文件

把通过c2 服务器下载的 payload 后缀名改为.exe

直接分析.exe 文件 后续的payload文件

下载的TEMP.so为exe文件，md5为： f160c057fded2c01bfdb65bb7aa9dfcc

行为分析：用process monitor 监测 payload的行为 ，设置过滤器 重命名为 tt.exe

可以看到一些对文件的操作 ， 还有注册表之类的

主要行为：

在c：programdata \a7963 下 拷贝自身过去

无壳

分析过程：

1.查了资料后 知道这是 MFC的程序 ，看代码的特征，确实是MFC独有的

2.行为分析的时候（检测行为时）也可以感受到 在运行之后 有个明显的时间差 才有弹窗

大循环 造成延迟的主要原因

0x0BAADBEEF ----> 3131948783

VirtualProtect：

0x40 : 启用对已提交页区域的执行、读和写访问

循环结束之后，先用VirtualProtect函数更改0x422548到0x42A548的内存属性为0x40，也就是可读可写可执行，

之后调用401670 函数，函数不能反汇编出来，直接看汇编代码

加载有效地址（load effective address）指令就是lea,他的指令形式就是从内存读取数据到寄存器，但是实际上他没有引用内存，而是将有效地址写入到目的的操作数

在4012A2 处下断点，之后f8 查看407068处的汇编 发现内容已经改变

前：

后：

一步步跟一下 看看解密后的内容都干了什么

当执行 00427115 的指令时 发现很大的延迟 。回车跟进 004255c8 函数 看一下内容：

熟悉的大循环

返回上级函数，接着向下跟，观察寄存器的值的变化，

出现字符串

疑似解密 具体不清楚干啥 接着跟

运行到这的时候 弹出cmd窗口，速度太快 截不到图

跟进函数 004236A8内部 ： 一步步简单跟一下

00423827处 重新创建自身进程

0042442A处 创建傀儡进程

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课