近期，火绒工程师发现针对国内企业投放病毒的威胁事件，经排查分析后，确认为后门病毒，主要通过钓鱼邮件进行传播，其会伪装成Word文档来诱导用户打开。

伪装成word文档的病毒样本

当用户被诱导点击运行病毒后，黑客可通过C&C服务器下发各类指令来执行各种恶意功能，如：恶意代码注入、利用开机自启来进行持久化操作、获取系统进程信息等恶意功能。不仅如此，该病毒还会使用多种手段（控制流混淆、字符串混淆、API混淆）来躲避杀毒软件的查杀。

病毒的执行流程，如下图所示：

病毒执行流程
对此，火绒安全提醒用户不要轻易点击来历不明的邮件附件，火绒安全产品可对该病毒进行拦截查杀。

查杀图

一、样本分析

混淆手段

该病毒启动后会率先执行一段shellcode，相关代码，如下图所示：

执行shellcode
在shellcode中使用多种手段来对抗杀毒软件的查杀，如：控制流混淆、字符串混淆、API混淆等。控制流混淆，如下所示：

控制流混淆
字符串混淆，每个字符串使用时，动态进行解密，并且每个字符串都有单独的解密函数，不同字符串解密函数对比，如下图所示：

不同字符串解密函数对比
API混淆，在shellcode中会将用到的API地址加密并保存，使用时动态解密出来，如下所示：

加密API地址
使用API之前会动态进行解密，利用位运算特性，每次解密的方法不同，但是结果一致，如下图所示：

不同解密方式

恶意行为

获取本机的信息（用户名、计算机名、系统版本等）并发送给C&C服务器，如下图所示：

发送上线包
黑客可通过C&C服务器下发命令来执行各种恶意功能如：执行任意CMD命令、下发任意恶意模块、进程注入、获取系统进程信息、持久化等恶意功能，以下进行分析。
启动进程，该功能常被用于执行CMD命令，可执行C&C服务器下发的任意的恶意命令，相关代码，如下图所示：

启动进程
该样本具备多种注入手段，一利用傀儡进程将恶意模块注入到其他进程中执行；二利用远程线程来在其他进程中执行恶意代码，傀儡进程注入，相关代码，如下图所示：

傀儡进程注入
远程线程注入，相关代码，如下图所示：

远程线程注入
获取系统进程信息，相关代码，如下图所示：

获取系统进程信息
获取指定目录文件信息，相关代码，如下图所示：

遍历目录文件
可通过添加服务来进行持久化，相关代码，如下图所示：

持久化

二、附录

C&C

HASH

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课