秒殺宏病毒，解剖Emotet技術難點

第一章 樣本背景介紹

Emotet是一種銀行木馬惡意軟體程序，它通過將計算機代碼注入受感染計算機的網路堆棧來獲取財務信息。

[1]允許通過傳輸竊取敏感數據。

[2] Emotet惡意軟體還將自身插入到軟體模塊中，然後軟體模塊可以竊取地址簿數據並對其他系統執行拒絕服務攻擊。

[3]Emotet已經在其交付方面發展，但最突出的形式是在電子郵件正文中插入惡意文檔或URL鏈接，有時偽裝成發票或PDF附件。

[4]2014年首次在德國，奧地利和瑞士報道，美國很快就遇到了Emotet惡意軟體，不一定是假髮票，而是通過惡意JavaScript（.JS）文件;當惡意.JS文件被執行時，Emotet惡意軟體就能夠感染當前主機。

[5]一旦Emotet感染了主機，作為惡意軟體一部分的惡意文件就能夠通過Web瀏覽器攔截，記錄和保存傳出的網路流量，從而導致敏感數據被編譯以訪問受害者的銀行帳戶。

[6 ]Emotet是Feodo Trojan系列木馬惡意軟體的成員。

[7]在虛擬機環境中運行時，Emotet會以誤導惡意軟體調查員的方式更改其行為。

第二章 原創沙盤跑宏病毒

Emotet 已經有人分析了，我這篇的重點是：分析中遇到的技術難點，以及以後快速分析的解決方案。對於這種宏病毒我們要做到秒殺，我們要學會給病毒歸類，以及快速分析的方法。

拿到樣本之後，用我自己原創開發的沙箱跑一下，看看效果

系統進程中標紅的表示新增加的進程，可以看出增加了cmd,exe的進程，我們可以看到word啟動了一個cmd的進程，並且傳遞了一串參數

已經拿到WINWORD.EXE啟動cmd.exe的數據

第三章 分析加密cmd參數

參數是拿到了但是貌似是加密的

我們首先手工分析一下，批處理是用&&分割的

所以拿出第一句

這個是設置變數。

再看第二句這個可長了

很長別嚇著了，先看這句

%o的意思遍歷上面的數組，取出每一項，那麼這句的意思就是取出字元串-對於的索引項，1表示只是取一位，那麼字元串是啥

那麼對於的就是p

59對應的就是o

30對應的就是w

我們可以手工寫代碼解析。

理論上這樣分析就完成了。

第四章 自動化跑結果

但是如果別人給演算法修改了，那麼我們又的折騰半天，那麼有沒有什麼解救之法啊

當然有，他再怎麼加密，他都跑不掉一個執行的操作，我們只要列印執行的操作就完成了

這裡我們只要給call，替換成echo 再修改一下列印的變數就可以了，我修改後的代碼如下

現在問題來了，雖然我們修改了代碼，怎麼給顯示結果列印處理啊？

我才用我最熟悉的方式C代碼編程

代碼如下

哎 努力無數次，還是無法給代碼編輯到框子裡面去，難道是我不會編輯帖子？麻煩小編幫我編輯一下。放棄了，

下面放一個我跑出的圖吧

以後媽媽再也不用擔心我的學習了，秒殺一切。

第五章 總結

好了，類似於這種宏病毒的樣本就技術點就分析完成了，剩下的就是拿od跟pe文件了，我這裡就不介紹了，最後說點題外話：我不是不會技術分析，只是我覺得思路比技術分析亮點大，技術分析是個人都會，只是時間問題，唯獨思路才強大。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！