背景

今天看见群里几个学生电脑中毒了，发一篇19年该病毒的分析报告，没有技术可言，自己现在看感觉当时好像做了分析报告，但是好像啥都没写，hhhh（大佬们勿喷）
一个是学校通知的文档带下去的，估计是发通知的人电脑中招了（学校一般不会发送带宏的文件，大家开宏还是谨慎一点吧）

跟他说了之后他去看了学校官网，发现全是这类木马了

另一个是公众号下载的某盘下载器带的木马

执行流程

详细分析

还原程序

从EXERESX资源段获取信息

读入到新建立文件

执行文件

释放病毒

首次运行

(1)判断指定目录下是否存在病毒

(2)没有文件则设置缓存路径和文件，并且配置ini文件

设置缓存路径及文件如下：

配置ini文件提取内容及服务器和下载文件地址

邮箱配置如下：

感染文件和记录信息启动配置：

(3)设置自启动
A.释放病毒

B.设置自启动

(4)是首次运行则执行病毒

病毒执行（二次运行）

文件信息
sha256：
11C757EFA271895105C9396ED5ECE13D3EA57D5A27AABAF93E6E5AEC03E06748
md5：
21DE97CF684A5D7D3197A75D0F11FFA2
sha1：
5340788DB50BC7B26D22DC48D0D24D91AA824551
文件类型 32位 PE 文件[Borland Delphi v6.0 - v7.0]
文件大小 771584 字节(753 KB)
壳信息 无壳
文件描述 Synaptics Pointing Device Driver

(1) 感染exe文件
获取目录查找exe文件：

设置感染标志（根据是否含有资源段EXERESX判断是否被感染）：

感染文件（在临时目录生成文件，将原文件作为资源段打包）：

(2)感染xlsx文件
查找xlsx文件：

建立感染标记（根据文件是否含有XLSX资源段判断是否被感染）：

释放宏（在临时目录建立随机文件，将资源段XLSX资源段释放）：

感染文件（设置宏，并复制病毒到文件~$cache1）：

宏文件功能就是恢复原文件并且启动病毒，再将宏清除：

(3)建立线程497CF0自动更新病毒版本（联网失败之后无法动态跟进，后面为静态分析）
A.在临时目录生成随机exe和ini文件

B.通过之前配置的ini文件中的DownLoad中的exe和iniURL下载文件并且执行

(4)配置server并且建立线程Start Address连接

(5)设置设备和目录监视，记录文件操作

(6)设置USB和键盘Hook，将信息记录到缓存路径下新建目录WS下
加载Hook的DLL:

设置Hook启动和取消：


记录到文件：

(7)建立线程传输文件到指定邮箱

5.总结
程序通过将exe文件打包入资源段并将原文件覆盖的方式来感染文件，并且在被运行时释放原程序并设置隐藏，让原文件能够正常启动，掩盖病毒存在。同时资源段释放的宏文件可以感染xlsx文件，当启用宏时病毒也会被运行，是较为少见的感染方式。最后病毒通过自身的DLL设置Hook记录用户敏感信息，并且建立线程联网可以进行自动更新，下载其他病毒文件，并且获取用户的信息发送到自己的邮箱。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法