前言概述

最近笔者发现一个虚假中文版Telegram钓鱼样本，对该样本母体加载程序进行了详细分析，分享出来供大家参考学习，不要从非官方网站下载安装应用，不然很容易中招。

详细分析

1.样本伪装为Telegram中文版安装程序，如下所示：

2.解析出安装程序的安装脚本，安装完成之后，会启动目录下的loFsoirtplugLaer.exe程序，如下所示：

3.安装完成之后，对应的安装目录文件结构，如下所示：

4.通过白+黑的方式，利用loFsoirtplugLaer.exe加载恶意模块python36.dll，如下所示：

5.恶意模块的数字签名信息，如下所示：

6.检测是否存在调试器，反调试操作，如下所示：

7.查询进程信息，反调试操作，如下所示：

8.通过Sleep、主机内存信息、CPU信息进行反虚拟机操作，如下所示：

9.分配相应的内存空间，然后进行相关操作，如下所示：

10.将加密的数据拷贝到内存空间，如下所示：

11.拷贝完成之后，如下所示：

12.异或3A解密加密的数据，如下所示：

13.解密完成之后，如下所示：

14.解密出来的PayLoad导出函数，如下所示：

15.分配内存空间，将解密出来的PayLoad加载到新分配的内存空间当中，如下所示：

16.执行PayLoad的导出函数run，如下所示：

17.判断是否为管理员权限，如下所示：

18.遍历系统中火绒剑、360等安全软件，然后调用驱动，对抗安全软件，如下所示：

19.获取本地网络信息，如下所示：

20.禁用主机网络接口，如下所示：

21.在C:\Windows\Temp目录下生成相应的文件，如下所示：

22.生成的文件，如下所示：

23.将生成的文件拷贝到对应的C盘目录下，如下所示：

24.拷贝之后生成的文件信息，如下所示：

25.然后重新启动网络接口，如下所示：

26.采用白+黑的方式加载恶意模块lum_sdk32.dll，如下所示：

27.恶意模块的数字签名信息，如下所示：

28.读取同目录下的文件lum_sdk32.dll.dat，如下所示：

29.将文件中ShellCode代码读取到内存当中，然后调用执行ShellCode代码，如下所示：

30.将ShellCode中加密的数据拷贝到分配的内存，如下所示：

31.然后异或解密加密的数据，解密之后，如下所示：

32.解密出来的PayLoad使用UPX加壳，如下所示：

33.执行PayLoad的导出函数run，如下所示：

安装对应的服务进行持久化操作，到此该钓鱼样本母体加载程序就分析完了，应该是某个黑产组织的攻击样本，对受害者进行远控窃密攻击活动。

威胁情报

总结结尾

黑客组织利用各种恶意软件进行的攻击活动已经无处不在，防不胜防，很多系统可能已经被感染了各种恶意软件，全球各地每天都在发生各种恶意软件攻击活动，黑客组织一直在持续更新自己的攻击样本以及攻击技术，不断有企业被攻击，这些黑客组织从来没有停止过攻击活动，而且非常活跃，新的恶意软件层出不穷，旧的恶意软件又不断更新，需要时刻警惕，可能一不小心就被安装了某个恶意软件。