样本来自帖子

样本信息：

文件名: 2023财会人员薪资补贴调整新政策所需材料.exe
MD5: 20fbd9ac1097d4da587f0e353bbecb80
SHA256: d7bc758160ca6ddaa7ac16ff2a1c48a8481ed0cde96baa9d9fe6608b34f076c6

样本主要行为：

1	从指定链接http: / / 27 , 124 , 40 , 155 : 8000 / j - 1 下载文件并执行；该文件从指定的URL处下载多个载荷文件并执行；

j-1 分析：

文件信息：

MD5：87c42dee312435c37b095e9a81c9a92a
SHA-1：89e1ac9649ab6439d1e8804b6824a3ec5664bda7
SHA-256：bf3235239dc43b72dc1a0496f507f1ba8545d0fc4c7651d2d55107e8ec76c7ec

样本主要行为：

1	从指定的URL处下载多个载荷文件并执行；

详细分析：

程序运行后会检测360程序，有360程序则会弹框，并退出程序执行；

弹框内容如下

下载文件

从指定的url处分别下载一个exe,一个.dat,和edge.jpg，edge.xml；其中exe和.dat使用同一个随机名称；所有文件保存到\Users\用户\AppData\Roaming目录下；

最终的下载链接如下

下载完成后，执行随机名称的exe；

随机名称exe分析

随机名称的exe实际为tu_rt.exe; 此程序为白文件实际是NetSarang系列工具更新程序；但已被病毒利用，加载同一目录下的的同名.dat文件；

.dat是被zip格式加密压缩的文件；逆向tu_rt.exe能看到密码

这里直接使用7z对.dat解压得到

其中_TUProj.dat开头插入了病毒脚本

被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节，而修复后的内容实际上是一个PE结构的可执行程序。

修复后的PE可执行程序运行后，会向系统中添加计划任务用以定期启动自动执行。同时，程序还会解密同目录下的.png及.jpg文件，这次解压出的程序为真正的远控程序。

持续驻留

木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务：

对jpg的解密

sub_100019A0即为解密函数;可以用c++调用shellcode快速解密；
sub_10002630为查找调用dll的Edge;

解密后的jpg文件中会包含一个dll文件；

DLL文件分析

实际文件为远控木马，远控功能如下：

设置隐藏文件

反分析检测

下载文件并释放到指定目录,并设置隐藏

监控按键

设置持久化

添加服务

更新C2后门地址

获取QQ号

其他功能

此外，该木马具有常见远控的所有功能，如：截图，收集系统信息等其他。