样本是一个自解压文件，解压后通过白加黑方式静默运行白文件MicrosoftUpdate.exe并加载黑DLL SoftwareUpdateFilesLocalized.dll。黑DLL读取SHELLCODE SoftwareUpdateFiles.locale随后动态加载所需dll，过程中将释放且加载另一个SHELLCODE “New Text Document.doc”，最后尝试回连CC thripplekill.mentosfontcmb[.]com 46405端口。

样本以SHA256值命名，通过DIE查看，该样本是一个压缩包，但从winhex查看却是一个PE头，经过查询资料，推断该文件为自解压压缩文件。

文件名

dbde2b710bee38eb3ff1a72b673f756c27faa45d5c38cbe0f8a5dfccb16c18ba

MD5

7579aede6a223c96231ad30472a060db

时间

2019-02-25 03:03:32

文件格式

Zip(2.0)

功能类型

控守后门

图 DIE查看为压缩包格式

图 Winhex查看为PE头

使用Winrar打开压缩包，压缩包中包含共计4个文件：1个PE（MicrosoftUpdate.exe），1个二进制文件（SoftwareUpdateFiles.locale），2个dll（SoftwareUpdateFiles.dll、SoftwareUpdateFilesLocalized.dll）。Winrar标注该自解压文件双击后运行MicrosoftUpdate.exe。

图 自解压运行 MicrosoftUpdate.exe

虚拟机中运行压缩包样本，使用PChunter看到MicrosoftUpdate.exe是正常厂商签名PE文件。使用火绒剑看到压缩包启动MicrosoftUpdate.exe并加载SoftwareUpdateFiles.dll、SoftwareUpdateFilesLocalized.dll 2个dll。SoftwareUpdateFilesLocalized.dll 无有效签名。

推测样本通过白名单文件MicrosoftUpdate.exe加载恶意SoftwareUpdateFilesLocalized.dll达到某种目的。

图 厂商签名白文件

图 无签名dll

首先分析MicrosoftUpdate.exe如何加载2个dll。使用CFF查看导入表，发现仅导入SoftwareUpdateFiles.dll，无另一个dll痕迹，但SoftwareUpdateFiles.dll导入表中也无发现。推测SoftwareUpdateFilesLocalized.dll由其他系统dll加载。

图 MicrosoftUpdate.exe导入表

图 SoftwareUpdateFiles.dll导入表

MicrosoftUpdate.exe拖入OD中，查看当前PE加载DLL情况，发现PE还未运行时SoftwareUpdateFilesLocalized.dll已经载入。要想定位是哪一个DLL加载SoftwareUpdateFilesLocalized.dll，则用OD"中断于新模块"断点，断下每一个加载DLL。

图 SoftwareUpdateFilesLocalized.dll加载

通过下断点，发现SoftwareUpdateFilesLocalized.dll由msctf.dll加载，但在msctf.dll导入表中未发现相关dll。推测msctf.dll使用Loadlibrary函数动态加载SoftwareUpdateFilesLocalized.dll。

图 msctf.dll导入表

在msctf.dll处下断点并一步步推进，发现其确实调用LoadLibraryExW动态加载SoftwareUpdateFilesLocalized.dll。

图 SoftwareUpdateFilesLocalized.dll加载

对于存在SHELLCODE的样本，其加载原理大多通过"VirtualAlloc"函数将SHELLCODE注入到某个内存空间中,所以用IDA打开黑DLL（SoftwareUpdateFilesLocalized.dll）查看"VirtualAlloc"函数引用并定位注入功能模块位置并在函数"VirtualAlloc"上方发现操作SHELLCODE "SoftwareUpdateFiles.locale"的痕迹。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！