后門(mén)病毒偽裝成Word文檔，利用釣魚(yú)郵件傳播

近期，火絨工程師發(fā)現針對國內企業(yè)投放病毒的威脅事件，經(jīng)排查分析后，確認為后門(mén)病毒，主要通過(guò)釣魚(yú)郵件進(jìn)行傳播，其會(huì )偽裝成Word文檔來(lái)誘導用戶(hù)打開(kāi)。

偽裝成word文檔的病毒樣本

當用戶(hù)被誘導點(diǎn)擊運行病毒后，黑客可通過(guò)CC服務(wù)器下發(fā)各類(lèi)指令來(lái)執行各種惡意功能，如：惡意代碼注入、利用開(kāi)機自啟來(lái)進(jìn)行持久化操作、獲取系統進(jìn)程信息等惡意功能。不僅如此，該病毒還會(huì )使用多種手段（控制流混淆、字符串混淆、API混淆）來(lái)躲避殺毒軟件的查殺。

病毒的執行流程，如下圖所示：

對此，火絨安全提醒用戶(hù)不要輕易點(diǎn)擊來(lái)歷不明的郵件附件，火絨安全產(chǎn)品可對該病毒進(jìn)行攔截查殺。

樣本分析

混淆手段

該病毒啟動(dòng)后會(huì )率先執行一段shellcode，相關(guān)代碼，如下圖所示：

在shellcode中使用多種手段來(lái)對抗殺毒軟件的查殺，如：控制流混淆、字符串混淆、API混淆等?？刂屏骰煜?，如下所示：

字符串混淆，每個(gè)字符串使用時(shí)，動(dòng)態(tài)進(jìn)行解密，并且每個(gè)字符串都有單獨的解密函數，不同字符串解密函數對比，如下圖所示：

API混淆，在shellcode中會(huì )將用到的API地址加密并保存，使用時(shí)動(dòng)態(tài)解密出來(lái)，如下所示：

加密API地址

使用API之前會(huì )動(dòng)態(tài)進(jìn)行解密，利用位運算特性，每次解密的方法不同，但是結果一致，如下圖所示：

不同解密方式

惡意行為

獲取本機的信息（用戶(hù)名、計算機名、系統版本等）并發(fā)送給CC服務(wù)器，如下圖所示：

發(fā)送上線(xiàn)包

黑客可通過(guò)CC服務(wù)器下發(fā)命令來(lái)執行各種惡意功能如：執行任意CMD命令、下發(fā)任意惡意模塊、進(jìn)程注入、獲取系統進(jìn)程信息、持久化等惡意功能，以下進(jìn)行分析。

啟動(dòng)進(jìn)程，該功能常被用于執行CMD命令，可執行CC服務(wù)器下發(fā)的任意的惡意命令，相關(guān)代碼，如下圖所示：

啟動(dòng)進(jìn)程

該樣本具備多種注入手段，一利用傀儡進(jìn)程將惡意模塊注入到其他進(jìn)程中執行；二利用遠程線(xiàn)程來(lái)在其他進(jìn)程中執行惡意代碼，傀儡進(jìn)程注入，相關(guān)代碼，如下圖所示：

傀儡進(jìn)程注入

遠程線(xiàn)程注入，相關(guān)代碼，如下圖所示：

遠程線(xiàn)程注入

獲取系統進(jìn)程信息，相關(guān)代碼，如下圖所示：

獲取指定目錄文件信息，相關(guān)代碼，如下圖所示：

遍歷目錄文件

可通過(guò)添加服務(wù)來(lái)進(jìn)行持久化，相關(guān)代碼，如下圖所示：

持久化

附錄

CC

HASH