【恶意文件】深信服XDR与“银狐”的刀光剑影

病毒执行流程分析

此次样本修改了程序正常的入口点，在WinMain函数之前的执行了恶意代码：

病毒运行之后检测是否存在360tray进程，之后联网下载后缀为xml，jpg，dat，exe的多个文件至%PUBLIC%目录和C:ProgramData目录中，再通过傀儡进程技术运行释放出来的exe文件。

傀儡进程运行之后首先从dat文件中解压出四张图片和一个dat文件，之后创建多个计划任务执行%PUBLIC%和%ProgramData%目录下的文件

同时创建注册表HKEY_CURRENT_USERSOFTWARESauron和HKEY_USERSS-1-5-21-{[d-]+}SOFTWARESauron猜测是用于记录病毒运行的时间。

之后进入回连阶段接收C2（47.76.169.139:7000）服务器指令。

47.76.169.139:7000

http://47.76.169.139:7800/qq-4

http://47.76.169.139:7800/1

http://47.76.169.139:7800/2

http://47.76.169.139:7800/3

http://47.76.169.139:7800/4

5E85063FC706DA14C2B45A6C54DB9DCB：向日葵远程.exe

E4E3C98C784A15DE6F4F39283D2677D8：B6Utc.dat

A687DEDC4A864C3F68590C12BA54D42D：B6Utc.exe

EC24C69F707E2ABD84969520AF93905A：edge.jpg

E85E5FA4C7F5C11775D0AECAF7FFD709：edge.xml

A1B8D7C3D05936631F53D85A9740B202：NVMVBOq.dat

BDC665D84C49568A79784BBCED257181：NVMVBOq.exe

F7C9B21751FD411E5E94838F561B3DEB：5Q2w.dat

FC1C707C27AE30E5933C82B1B2521511：5Q2w.exe

CD162B3289C6AE29F3DCF754C6DBA9C5：95w6a.dat

A33A8FA67C8ED579AEDE23CA3D1701E4：95w6a.exe

293747B51BB69BC0FA7D13009A75CB21：B5y.dat

8C3C32132389D551B67AA29A9E6F377D：B5y.exe

BBBD40F177542B39321D0A59F4DC222B：edge.jpg

81B1300499A11A2057BBD803FBE9EE04：edge.xml

F96EB5C994253609C94E8DCCB1C9C851：Mtwm9a.dat

03E9BD04DEE800115AB863027F82C8AB：Mtwm9a.exe

该临时修复建议存在一定风险，建议用户可根据业务系统特性审慎选择采用临时修复方案：

1. 终结病毒本体及其子进程。

2. 删除文件本体和C:UsersPublic{随机字符串}下的edge.jpg、edge.xml、*.dat、*.exe；删除C:ProgramData{随机字符串}下的所有文件。

3. 删除%TEMP%目录下的_ir_tu2_temp开头的目录及里面的文件，删除%TEMP%目录下的Xshell 6 Update Log.txt；删除文件C:xxxx.ini

4. 删除注册表HKEY_CURRENT_USERSOFTWARESauron和下面的键值，删除注册表HKEY_USERSS-1-5-21-{[d-]+}SOFTWARESauron和下面的键值

5. 删除任务计划程序中指向%PUBLIC%和%ProgramData%目录下程序的任务计划。