近日，我們收到多名用戶反饋，有黑客團伙通過微信等即時通訊途徑公然投遞病毒，主要目標(biāo)為金融、證券行業(yè)。經(jīng)火絨工程師分析發(fā)現(xiàn)，此次病毒為日前火絨披露的后門病毒“Xidu”的變種。此次攻擊事件涉及的“Xidu”病毒變種于今年2月出現(xiàn)，在近日快速傳播，短期內(nèi)又出現(xiàn)新變種，可見該黑客團伙異?；钴S，不排除后續(xù)持續(xù)作惡的可能，請廣大用戶時刻保持警惕。

該黑客團伙偽裝成客戶，向受害目標(biāo)發(fā)送帶有病毒的文檔或者錄像文件，誘導(dǎo)受害目標(biāo)打開，隨后實施竊取信息等惡意行為，如下圖：

黑客團伙投遞的病毒文件名均使用行業(yè)關(guān)鍵詞，極具有欺騙性。火絨安全實驗室目前收集到關(guān)鍵詞如下圖所示：

此次火絨捕獲到的多個“Xidu”變種樣本，針對安全軟件的免殺對抗進行了再升級，通過多層PE調(diào)用流的形式來保護其核心病毒模塊，隱蔽性更強。病毒運行后會加載收集用戶信息、讀取鍵盤記錄，并可隨時遠(yuǎn)程控制受害者電腦。

此次黑客團伙通過誘導(dǎo)、欺騙等方式投遞病毒，對用戶造成嚴(yán)重威脅?；鸾q工程師提醒用戶，謹(jǐn)慎使用陌生人發(fā)送的文件或可執(zhí)行程序，如有必要先使用安全軟件掃描后再使用?；鸾q安全產(chǎn)品可對“Xidu”后門病毒及其新變種進行攔截查殺，請用戶及時更新病毒庫以進行防御。

一、樣本分析

新變種病毒的執(zhí)行流程，如下圖所示：

惡意模塊“證券20日日均凈資產(chǎn)證明文件.exe”啟動后，會從C&C服務(wù)器中下載1.dd壓縮包并釋放惡意文件到C:\ProgramData\目錄下，相關(guān)代碼，如下圖所示：

壓縮包的內(nèi)容，如下圖所示：

釋放出惡意文件后，將SpeedId.exe重命名為隨機名并運行，相關(guān)代碼如下圖所示：

在惡意模塊Speedld.exe中，將所有使用到的字符串都進行xor加密，使用時動態(tài)解密，如下圖所示：

在惡意模塊Speedld.exe中，會加載Antikk.dll，如下圖所示：

在Antikk.dll會讀取xm.xml的內(nèi)容并進行解密得到Xidu后門病毒核心模塊，如下圖所示：

調(diào)用Xidu導(dǎo)出函數(shù)shisanfeng，相關(guān)代碼，如下圖所示：

將xm.xml模塊和之前Xidu病毒進行對比，發(fā)現(xiàn)該模塊為Xidu最新變種，功能對比，如下圖所示：

由于新變種功能和老版本相差不大，將不再繼續(xù)進行分析，詳細(xì)功能分析（詳見：《后門病毒利用“白加黑”躲避查殺 可隨意操控用戶電腦》）。

二、附錄

C&C：

HASH：