近期，火绒工程师发现针对国内企业投放病毒的威胁事件，经排查分析后，确认为后门病毒，主要通过钓鱼邮件进行传播，其会伪装成Word文档来诱导用户打开。

当用户被诱导点击运行病毒后，黑客可通过C&C服务器下发各类指令来执行各种恶意功能，如：恶意代码注入、利用开机自启来进行持久化操作、获取系统进程信息等恶意功能。不仅如此，该病毒还会使用多种手段（控制流混淆、字符串混淆、API混淆）来躲避杀毒软件的查杀。

病毒的执行流程，如下图所示：

对此，火绒安全提醒用户不要轻易点击来历不明的邮件附件，火绒安全产品可对该病毒进行拦截查杀。

一、样本分析

混淆手段

该病毒启动后会率先执行一段shellcode，相关代码，如下图所示：

在shellcode中使用多种手段来对抗杀毒软件的查杀，如：控制流混淆、字符串混淆、API混淆等。控制流混淆，如下所示：

字符串混淆，每个字符串使用时，动态进行解密，并且每个字符串都有单独的解密函数，不同字符串解密函数对比，如下图所示：

API混淆，在shellcode中会将用到的API地址加密并保存，使用时动态解密出来，如下所示：

使用API之前会动态进行解密，利用位运算特性，每次解密的方法不同，但是结果一致，如下图所示：

获取本机的信息（用户名、计算机名、系统版本等）并发送给C&C服务器，如下图所示：

黑客可通过C&C服务器下发命令来执行各种恶意功能如：执行任意CMD命令、下发任意恶意模块、进程注入、获取系统进程信息、持久化等恶意功能，以下进行分析。

启动进程，该功能常被用于执行CMD命令，可执行C&C服务器下发的任意的恶意命令，相关代码，如下图所示：

该样本具备多种注入手段，一利用傀儡进程将恶意模块注入到其他进程中执行；二利用远程线程来在其他进程中执行恶意代码，傀儡进程注入，相关代码，如下图所示：

远程线程注入，相关代码，如下图所示：

获取系统进程信息，相关代码，如下图所示：

获取指定目录文件信息，相关代码，如下图所示：

可通过添加服务来进行持久化，相关代码，如下图所示：

二、附录

火绒自身关键词：

公司：北京火绒网络科技有限公司，火绒安全软件企业版，火绒终端系统

火绒安全，火绒，火绒安全软件，火绒官网，火绒杀毒软件怎么样，

火绒企业版怎么收费，火绒企业管理员密码，火绒企业版监控员工电脑，

火绒企业版收费标准，火绒企业版价格，火绒企业版与个人版有何不同，

火绒企业版卸载要密码，火绒，火绒安全、EDR V1.0， ，火绒安全防护

服务区域：

云南火绒，昆明火绒 ，贵州火绒，四川火绒，重庆火绒 ，西藏火绒，拉萨火绒，

产品：火绒安全卫士（专业版）软件 ，火绒终端安全管理系统v2.0，火绒安全终端安全管理系统2.0版，火绒终端安全管理系统V1.0,火绒终端安全管理系统，火绒 windows PC 版（10用户起订），火绒安全 终端管理系统Windows V2.0,火绒终端企业版Linux版，火绒终端企业版macOS版。火绒企业版收费标准，火绒企业版， 火绒企业版监控员工电脑，火绒企业版和个人版区别， 火绒企业版价格，火绒企业版多少钱，火绒企业版多少钱一年，火绒信息安全软件 linux PC V2.0终端安全管理系统网络版，huorong endpoint security management system2.0

火绒终端防病毒系统，火绒安全 火绒终端安全管理系统V2.0 Windows杀毒软件 ，火绒终端安全管理系统（ Linux版），火绒安全终端安全管理系统V2.0Linux版，信息安全软件 火绒 windows PC 三年续费版(10用户起订），火绒安全 终端安全管理系统V2.0Linux版 安全软件，火绒专杀工具（企业版），火绒安全 火绒终端安全管理系统2.0（旗舰版），火绒企业网络版杀毒软件升级，火绒企业网络版杀毒软件升级,火绒杀毒企业版多少钱

功能：实现终端安全系统的集中管理、策略配置、报表查看等功能。50个Windows客户端全功能版授权许可,

病毒防御：病毒查杀，防病毒终端软件:网络版杀毒软件，服务器杀毒软件，Linux服务器杀毒软件，防病毒软件EDR、杀毒软件（反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等，网络版杀毒软件 1套，终端安全控制系统，EDR终端安全管理，外网电脑杀毒软件，勒索病毒诱捕，文件实时监控，恶意行为监控，U盘保护，下载保护，邮件监控，web扫描。反病毒引擎供应商。定时全网扫描，

漏洞管理：（漏洞修复）补丁分发，补丁修复，漏洞攻击拦截、攻击溯源，支持漏洞集中修复，补丁文件管理，按终端修复，下发漏洞修复。横向渗透防护，

移动存储管理功能：安全U盘，U盘管控，U盘注册、U盘信任，USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备、便携设备等

终端管控：

外设管控，

系统防御：系统加固，应用加固，软件安装拦截，摄像头防护，浏览器保护

应用软件管理：企业软件管家，软件捆绑安装拦截，软件安装拦截，

网络防御：横向渗透防护，网络入侵拦截、对外攻击拦截、僵尸网络防护、爆破攻击防护、远程登录防护、web服务保护、 Web 威胁，恶意网址拦截，动态恶意软件检测，无文件恶意软件，终端动态认证，邮件监控，文件实时监控，网络入侵防护。恶意行为监控，勒索病毒诱捕。

访问控制：IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制，下发IP访问限制，安全软件自我保护，密码保护。

应用加固：web服务器、数据库、办公软件、文档阅读器、浏览器、设计软件，系统加固

资产管理：资产管理、边界管理、软件管理、系统管理、硬件管理、XP防护盾、流量管控、，终端审计、edr功能，远程桌面，预防勒索病毒，拦截恶意攻击等功能。清点硬件资产，

日志报告：

中心管理：

服务端支持系统：Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016

客户端支持系统：Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019等Windows操作系统以及UOS、深度Linux、中标麒麟、红旗linux、CentOS、Ubuntu等Linux操作系统

品类：终端安全：终端安全防护，终端安全软件，企业级杀毒， 终端安全防护软件授权，网络终端安全管理项目，终端设备防护，终端安全管理设备，终端安全专项保障，终端安全管理平台，终端安全管理系统，终端安全管理平台升级及维保项目，终端安全运营平台，终端安全管理系统升级，终端安全防护，终端安全防护扩容服务，终端安全管理平台，终端安全管理系统，端点保护市场,edr运营体系， 终端防户能力，全网管控，电脑终端防护需终端安全管理windows版求。xdr,edr，信息安全软件 火绒 windows PC 版（10用户起订），火绒安全 终端管理系统Windows V2.0，

杀毒软件：

信息安全软件 ，企业杀毒软件，网络安全病毒防治与安全加固服务项目，火绒杀毒软件，火绒杀毒，网络版防病毒软件

成都科汇科技有限公司( 终端安全 软件 解决方案商 ）

地址：成都市人民南路四段1号时代数码大厦18F

电话：400-028-1235

手机：180 8195 0517（微信同号）