近期，火絨工程師發(fā)現(xiàn)針對國內(nèi)企業(yè)投放病毒的威脅事件，經(jīng)排查分析后，確認為后門病毒，主要通過釣魚郵件進行傳播，其會偽裝成Word文檔來誘導用戶打開。

當用戶被誘導點擊運行病毒后，黑客可通過C&C服務器下發(fā)各類指令來執(zhí)行各種惡意功能，如：惡意代碼注入、利用開機自啟來進行持久化操作、獲取系統(tǒng)進程信息等惡意功能。不僅如此，該病毒還會使用多種手段（控制流混淆、字符串混淆、API混淆）來躲避殺毒軟件的查殺。

對此，火絨安全提醒用戶不要輕易點擊來歷不明的郵件附件，火絨安全產(chǎn)品可對該病毒進行攔截查殺。

一、樣本分析

近期，火絨截獲到針對國內(nèi)企業(yè)投毒的病毒樣本，該病毒會偽裝成word文檔來誘導用戶打開，當用戶運行該病毒后，黑客可通過C&C服務器下發(fā)各類指令來執(zhí)行各種惡意功能，如：執(zhí)行任意CMD命令、惡意代碼注入、持久化、獲取系統(tǒng)進程信息、獲取文件信息等惡意功能，并使用多種手段（控制流混淆、字符串混淆、API混淆）來躲避殺毒軟件的查殺，病毒偽裝成word文檔，如下圖所示：

病毒的執(zhí)行流程，如下圖所示：

混淆手段

該病毒啟動后會率先執(zhí)行一段shellcode，相關代碼，如下圖所示：

在shellcode中使用多種手段來對抗殺毒軟件的查殺，如：控制流混淆、字符串混淆、API混淆等。控制流混淆，如下所示：

字符串混淆，每個字符串使用時，動態(tài)進行解密，并且每個字符串都有單獨的解密函數(shù)，不同字符串解密函數(shù)對比，如下圖所示：

API混淆，在shellcode中會將用到的API地址加密并保存，使用時動態(tài)解密出來，如下所示：

使用API之前會動態(tài)進行解密，利用位運算特性，每次解密的方法不同，但是結(jié)果一致，如下圖所示：

惡意行為

獲取本機的信息（用戶名、計算機名、系統(tǒng)版本等）并發(fā)送給C&C服務器，如下圖所示：

黑客可通過C&C服務器下發(fā)命令來執(zhí)行各種惡意功能如：執(zhí)行任意CMD命令、下發(fā)任意惡意模塊、進程注入、獲取系統(tǒng)進程信息、持久化等惡意功能，以下進行分析。

啟動進程，該功能常被用于執(zhí)行CMD命令，可執(zhí)行C&C服務器下發(fā)的任意的惡意命令，相關代碼，如下圖所示：

該樣本具備多種注入手段，一利用傀儡進程將惡意模塊注入到其他進程中執(zhí)行；二利用遠程線程來在其他進程中執(zhí)行惡意代碼，傀儡進程注入，相關代碼，如下圖所示：

遠程線程注入，相關代碼，如下圖所示：

獲取系統(tǒng)進程信息，相關代碼，如下圖所示：

獲取指定目錄文件信息，相關代碼，如下圖所示：

可通過添加服務來進行持久化，相關代碼，如下圖所示：

二、附錄

C&C

HASH