近期，火绒工程师发现针对国内企业投放病毒的威胁事件，经排查分析后，确认为后门病毒，主要通过钓鱼邮件进行传播，其会伪装成 Word 文档来诱导用户打开。

伪装成W ord 文档的病毒样本

当用户被诱导点击运行病毒后，黑客可通过 CC 服务器下发各类指令来执行各种恶意功能，如：恶意代码注入、利用开机自启来进行持久化操作、获取系统进程信息等恶意功能。不仅如此，该病毒还会使用多种手段（控制流混淆、字符串混淆、 API 混淆）来躲避杀毒软件的查杀。

病毒的执行流程，如下图所示：

病毒执行流程

对此，火绒安全提醒用户不要轻易点击来历不明的邮件附件，火绒安全产品可对该病毒进行拦截查杀。

展开全文

查杀图

一

样本分析

0 1

混淆手段

该病毒启动后会率先执行一段 shellcode ，相关代码，如下图所示：

执行 shellcode

在 shellcode 中使用多种手段来对抗杀毒软件的查杀，如：控制流混淆、字符串混淆、 API 混淆等。控制流混淆，如下所示：

控制流混淆

字符串混淆，每个字符串使用时，动态进行解密，并且每个字符串都有单独的解密函数，不同字符串解密函数对比，如下图所示：

不同字符串解密函数对比

API混淆，在shellcode中会将用到的API地址加密并保存，使用时动态解密出来，如下所示：

加密API地址

使用API之前会动态进行解密，利用位运算特性，每次解密的方法不同，但是结果一致，如下图所示：

不同解密方式

0 2

恶意行为

获取本机的信息（用户名、计算机名、系统版本等）并发送给CC服务器，如下图所示：

发送上线包

黑客可通过CC服务器下发命令来执行各种恶意功能如：执行任意CMD命令、下发任意恶意模块、进程注入、获取系统进程信息、持久化等恶意功能，以下进行分析。

启动进程，该功能常被用于执行CMD命令，可执行CC服务器下发的任意的恶意命令，相关代码，如下图所示：

启动进程

该样本具备多种注入手段，一利用傀儡进程将恶意模块注入到其他进程中执行；二利用远程线程来在其他进程中执行恶意代码，傀儡进程注入，相关代码，如下图所示：

傀儡进程注入

远程线程注入，相关代码，如下图所示：

远程线程注入

获取系统进程信息，相关代码，如下图所示：

获取系统进程信息

获取指定目录文件信息，相关代码，如下图所示：

遍历目录文件

可通过添加服务来进行持久化，相关代码，如下图所示：

持久化