近期，火绒安全情报中心监测到一款伪装成具备SMS短信验证码接收服务的程序。该程序通过部署持久化后门（即僵尸网络节点）窃取敏感信息。火绒安全提醒广大用户务必从官方或可信渠道下载软件，避免因使用来路不明的程序而导致账号被盗或数据泄露。目前，火绒安全产品已能够对该窃密木马进行有效拦截和查杀，建议广大用户及时更新病毒库，以防范潜在安全风险。

流程图如下：

一、样本分析

初始样本首先会检测是否处于虚拟机环境，之后通过网络下载后门载荷恶意程序。

首先，样本利用com组件4590f811-1d3a-11d0-891f-00aa004b2e24进行WMI查询，通过查询物理内存以及内存插槽数量来判断是否处于虚拟机环境。

接着，调用InternetReadFile函数进一步下载病毒文件。

之后，通过修改PEB将自身进程伪装成explorer.exe进程，并调用com接口3E5FC7F9-9A51-4367-9063-A120244FBEC7进行com提权UAC。获得更高权限后，运行下载的iLauncher.exe。

iLauncher.exe是一个白文件，用于启动NSIS安装包程序infoflow.exe。

对infoflow.exe进行解包发现，其打包了白加黑文件。

nsi脚本文件为安装配置文件，执行安装过程。

对其进行分析发现，它会将白加黑文件安装到$PROGRAMFILES\vmware-vm文件夹中，安装完成后，nsi脚本中的Exec $INSTDIR\KcInstall.exe会进一步执行白加黑文件。

释放出来的kcinst32.dll为黑文件，负责进一步执行恶意程序。

其首先采用与前文相同的手法检测是否处于虚拟机中。之后禁用网络。

随后，通过powershell执行创建计划任务StateRepositorys。

然后，执行计划任务。

之后，通过powershell启用Windows功能“虚拟机平台”以占用VT，从而与杀软的VT功能产生冲突。

接着，创建互斥体，并通过不同的互斥体实现不同的功能。

其中，AUniqueMutexName用来实现后门功能，BUniqueMutexName用来执行计划任务。

后门功能是通过读取back.ini文件中的恶意代码来实现的。

对该恶意代码进行分析发现，其采用自写Base64字母系统进行加解密。该字母系统为!@#$%^&*()_+~ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz，其解密算法如下。

之后，修改内存属性并创建线程，以执行恶意代码。

随后，该恶意代码通过内存加载PE的方式进行执行后门。加载PE的代码存在大量混淆，对其去除混淆后进行分析发现，其流程为修复IAT、重定位表、然后执行入口点。

后门分析

将内存中的PE进行dump分析发现，它是一个Win0s后门木马。该木马通过将配置项写入注册表的方式进一步进行后门通信。

对后门进行分析发现，其首先开启剪贴板监听功能。

之后，实现以下功能。

0x00 插件执行。

0x03 屏幕信息。

0x05 创建进程。

0x06 下载执行。

0x07 修改备注、0x08 进程信息、0x0B 日志清理。

0x0C 重启进程、0x0D 结束后门、0x0E 关机、0x0F 注销、0x10 重启。

0x12 修改配置。

二、附录

C&C:

HASH: