后門病毒偽裝Word文檔，利用釣魚郵件傳播

近期，火絨工程師發現針對國內企業投放病毒的威脅事件，經排查分析后，確認為后門病毒，主要通過釣魚郵件進行傳播，其會偽裝成Word文檔來誘導用戶打開。

偽裝成Word文檔的病毒樣本

當用戶被誘導點擊運行病毒后，黑客可通過C&C服務器下發各類指令來執行各種惡意功能，如：惡意代碼注入、利用開機自啟來進行持久化操作、獲取系統進程信息等惡意功能。不僅如此，該病毒還會使用多種手段（控制流混淆、字符串混淆、API混淆）來躲避殺毒軟件的查殺。

病毒的執行流程，如下圖所示：

病毒執行流程

對此，火絨安全提醒用戶不要輕易點擊來歷不明的郵件附件，火絨安全產品可對該病毒進行攔截查殺。

查殺圖

一

樣本分析

01

混淆手段

該病毒啟動后會率先執行一段shellcode，相關代碼，如下圖所示：

執行shellcode

在shellcode中使用多種手段來對抗殺毒軟件的查殺，如：控制流混淆、字符串混淆、API混淆等。控制流混淆，如下所示：

控制流混淆

字符串混淆，每個字符串使用時，動態進行解密，并且每個字符串都有單獨的解密函數，不同字符串解密函數對比，如下圖所示：

不同字符串解密函數對比

API混淆，在shellcode中會將用到的API地址加密并保存，使用時動態解密出來，如下所示：

加密API地址

使用API之前會動態進行解密，利用位運算特性，每次解密的方法不同，但是結果一致，如下圖所示：

不同解密方式

02

惡意行為

獲取本機的信息（用戶名、計算機名、系統版本等）并發送給C&C服務器，如下圖所示：

發送上線包

黑客可通過C&C服務器下發命令來執行各種惡意功能如：執行任意CMD命令、下發任意惡意模塊、進程注入、獲取系統進程信息、持久化等惡意功能，以下進行分析。

啟動進程，該功能常被用于執行CMD命令，可執行C&C服務器下發的任意的惡意命令，相關代碼，如下圖所示：

啟動進程

該樣本具備多種注入手段，一利用傀儡進程將惡意模塊注入到其他進程中執行；二利用遠程線程來在其他進程中執行惡意代碼，傀儡進程注入，相關代碼，如下圖所示：

傀儡進程注入

遠程線程注入，相關代碼，如下圖所示：

遠程線程注入

獲取系統進程信息，相關代碼，如下圖所示：

獲取系統進程信息

獲取指定目錄文件信息，相關代碼，如下圖所示：

遍歷目錄文件

可通過添加服務來進行持久化，相關代碼，如下圖所示：

持久化

二

附錄

C&C

HASH