一、 配景介绍

近日，深信服安适团队捕获到一个新型垃圾邮件，此中包罗受暗码掩护的Word文档，团队中的相关人员对其进行了深入的分析，发明是同样类型的Neutrino最新版本僵尸措施。

二、 样本信息

Neutrino属于Kasidet家族，这次病毒通过伪装成“发票到期”的电子邮件并且带有暗码掩护的附件进行流传，带有暗码掩护的电子邮件可能会给人一种安适感。在此深信服提醒泛博用户：陌生人发来的陌生文档，邮件不要等闲打开。邮件内容如下：

“Invoice.doc”附件中包罗一个宏，如果用户的宏安适设置为低，则文档将自动启动宏。别的，宏受暗码掩护。面对这种情况，大大都用户都不知道这份文件会在后台做些什么。如下：

检察宏内容显示它将从hxxp//209.141.59.124/1.exe下载文件，然后生存至%Temp%\qwerty2.exe并启动。宏内容如下：

qwerty2.exe主要成果如下：

a) DDOS打击

b) 信息窃取

c) FTP嗅探

d) 反调试、反虚拟机和反沙箱

e) 文件下载

本次分析涉及的文件信息如下：

文件名：Invoice.doc

文件巨细：39424 bytes

文件描述：受暗码掩护的Word文档

MD5：E875E978CCDD5A02AEEFB207F83F7E16

SHA1：B59EBB1FA9383B646FBA7F1C39624D2674CA3F9E

文件名：qwerty2.exe

文件巨细：397312bytes

文件版本：4.08.0004

MD5：30B43B2437A5CA665279D4A47A18CE7C

文件位置：C：\ Users\[用户名]\AppData\Local\Temp\ qwerty2.exe

SHA1：6D58318FA35030FF5C97CEAD87924C6C5714DD48

三、 样天职析

1. 样本运行后先执行一段混淆代码，然后通过“MapViewOfFile”将文件进行映射。

2. 将映射后的数据进行解密，通过跳转到ZwSetInformationProcess函数将DEP封锁，然后在转入解密后的数据并执行。

3. 获取cpuid信息（包孕型号，信息措置惩罚惩罚器）、操纵系统版本、地舆位置、网卡配置和IP信息。

4. 为了防备恶意措施被多次运行Neutrino恶意软件创建互斥体：“{FC502D82-2B78-8E2F-95F0-8FA2992433F6}”。

5. 改削文件创建时间、设置文件属性、设置注册表Run启动，确保在受传染的机器上长期存活。

6. 动态加载CreateToolhelp32Snapshot、Module32First、M odule32Next函数遍历进程模块与事先设定好的进程模块进行对照，如果遍历到不异进程模块，则终止执行。