微软的分析已经比较全面，在此基础上补充一些内容（0d9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6T1L8r3!0Y4i4K6u0r3x3U0l9J5y4g2)9J5c8U0l9K6i4K6u0r3x3e0N6Q4x3V1k6K6N6r3W2D9j5h3y4Z5K9i4u0S2N6q4)9J5k6r3q4F1j5h3I4&6M7$3W2K6i4K6u0V1k6Y4u0G2L8g2)9J5k6s2y4&6M7%4c8W2L8g2)9J5k6s2u0W2j5$3!0F1L8X3q4A6M7%4y4S2L8X3y4W2i4K6u0V1N6r3!0Q4x3X3c8U0M7Y4W2H3N6r3!0U0N6i4u0J5k6h3&6U0P5g2)9J5k6s2c8Z5k6h3k6@1i4K6u0r3i4@1g2r3i4@1u0o6i4K6R3&6

木马通过白+黑形式启动，白文件为阿里旺旺的某个程序(md5:ab2ddc779e4c638047603ff345b874a7)，常见位置为common files/kdkeve/kdkeve.exe、common files/sniatsr/sniatsr.exe和common files/kdekdv/kdekdv.exe 加载的恶意dll为缺少阿里数字签名的wwstartupctrl64.dll：  

木马调用系统函数时会通过异或加密间接调用，写程序解密后获得函数映射表，可见样本可能调用网络连接、注册表操作等敏感：

同时，样本调用的很多常量字符串也是加密后存储的，python实现其解密代码获得部分常量明文，包括主备C2域名、用于获取设备公网出口IP的API:

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！