样本来源如下，感谢分享~

白加黑_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和!

初步研判

SHA256：7c5300cd3875efea725f51d089412b81922d81dc60d2420090aaede92a16477e

把压缩包整体丢入微步云沙箱中，可以看到样本已被判黑

检测系统判断为银狐样本

行为分析中hook到了可疑ip，不过是国内的，先保留

内存dump的文件基本都为恶意

文件分析

如图所示，大概率是一个白加黑

行为分析

进程行为

没有子进程调用

我们可以看到文件加载了文件分析中的可疑dll

文件行为

只写入了日志文件

注册表行为

如图所示写入了很多注册表但是大部分为CLSID，与权限维持无关

网络行为，和初步研判中的ip一致

详细分析

我们进入黑dll，导出函数只有两个，main中无内容

还有一个函数为空，应该都是用于白文件调用时不报错创建的

所以我们就只需要看DataImporterMain()了

首先是一段意义不明的运算，跟核心功能没什么关系，我们暂且略过

然后把字符载入到了this中

接下来把上面传的字符串导入下一个函数

在此函数中，查询启动目录

这里缺少一个C://Users//Public//Documents//WallPaper.lnk，可能需要用户在看看，这个文件会被复制到
<用户名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup目录下。这两个文件都需要删除

不过这并不影响我们后续的分析，因为不管有没有，文件运行后都会执行shellcode

根据分析，.c文件的数据解密方式为先异或key hex: 12 34 56 78

然后取反就可以得到shellcode了，然后调用载荷

载荷就不做详细的分析了，一看就是模板

稍微截取一下c2

单独把shellcode转成pe，丢进微步云沙箱中就可以看到家族类型

同样也可以找到特征

IOC

根据c2丢入x情报社区，可以发现已被归类为银狐c2

[注意]看雪招聘，专注安全领域的专业人才平台！