背景

前段时间某应急中捕捉到相关样本，反馈现象是某终端的软件在用户未操作的情况下自主批量给其他用户发送压缩附件，并以“财务”为主题诱导用户点开， 主要是对附件及受害主机病毒文件进行逆向分析，笔者也是初入逆向学习，如有错误，大佬勿喷。

静态分析

附件解压之后，该exe是通过某游戏图标进行伪装 (某免费版的exe)

IDA+Main函数+F5

进入到第一个函数 sub_140003F70(第一个if的控制语句)，主要是检测是否安装钉钉、微信等软件（后面在动态调试的时候，发现一直走不进去，在虚拟机安装一个微信客户端就可以了）

sub_140003570函数主要是将恶意网站的PNG的字符串进行拼接获取，为了后续的下载

sub_140003210函数的动作主要是下载某xxxx.png并写入到2024.png中（2024.png具体路径可以动态调试中获取）

sub_140003B90函数主要是执行PNG的内容

动态分析

坑点: 调试的的时候，需要安装钉钉或者微信否则无法进入到if中，其次需要联网满足下载需求

拼接v7[]数组获取具体的PNG下载地址

创建2024.png具体位置 C:\Users\Public\Downloads\2024.png (这个跟其中一个受害主机的PNG文件夹一致)，其中call 7FF78B273210主要是下载某xxxx.png输入到2024.png

直接在VirtualAlloc打断点 F9运行过来，发现后面就直接跟飞了，大部分都是加载DLL获取其他WINAPI函数，疑似是检测系统配置信息

最终在Downloads文件夹下还下载了一个bb.jpg就结束了（该文件推测只是用来检测受害主机是否具备可传播病毒）

白+黑

伙伴反馈通过对主机进行溯源分析，发现explorer.exe进程一直是有外链恶意IP，推测肯定还是有其他恶意程序的，最终在C:\Users\Administrator\AppData\Local\OneDrive\cache\ 文件夹下面发现了疑似病毒程序。

exe沙箱检测是无毒的（应该是白程序），dll报毒，推测bb.jpg是shellcode文件，Run目录下是一个exe的快捷方式，指向外面的exe程序（通过添加图标，迷惑性很大）

DLL静态分析

该DLL将近470M，IDA打开后直接卡死

通过HEX工具打开发现末尾被填充了大量的空字符

为了方便的分析只保存有内容，这样dll大小就只有几kb了，IDA打开后确定DllMain直接F5进行分析

主要分析sub_180002268函数，主要是获取bb.jpg位置信息及读取内容

下面主要是寻找explorer.exe进程，申请内存空间、写入内存、开辟线程等常规操作了

sub_180001F5C函数主要是寻找explorer.exe进程PID信息

剩下的就是对异常做处理了

动态分析

可以看到目录位置与实际病毒位置一致

此时进入到一个循环，不断遍历进程与explorer进行匹配是否相等，从而进一步获取PID值

在遍历进程函数下面打断点直接跳过遍历过程，返回的PID与实际一致

最后就是申请内存空间 VirtualAllocEx

写入到申请的内存空间 WriteProcessMemory

创建线程直接在CreateRemoteThread打断点，F9运行过来（explorer进程应该是有外链的）

通过ProcessHacker可以看到被注入成功，外链某IP

通过微步对IP及域名查询

结尾

最后就是病毒处置，加强安全意识了。