794K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4A6I4i4K6u0W2L8r3q4F1P5X3!0#2M7g2)9J5k6h3y4G2L8g2)9J5c8X3W2C8f1$3q4n7x3Y4g2&6k6i4N6@1j5H3`.`. 卡X上的病毒样本

0x01 总体执行流程

大体上为通过计划任务做维持，调用网易直播的白文件，劫持iplay.dll执行msiexec.exe并注入shellcodeloader,之后加载器加载update.cab执行恶意行为

0x02 初步分析

和白样本同目录最可能被劫持的3个dll中，2个有有效签名，1个被情报识别为木马：

0x03 iplay.dll分析

动态运行了下白样本，定位读取可疑文件的行为，通过调用栈信息定位到iplay中的可疑函数RUN()

RUN()中使用XOR加密在运行时动态加载kernal.dll的函数

之后继续解析下一步shellcodeloader的位置，执行msiexec并注入一个线程

在实际注入前把解密后的shellcodeloader dump出来，继续分析。

0x04 clean.dat分析

有多个备选的文件，分析的样本中是有update.cab,这里没有再启动新的进程进行注入，而是启动一个新线程去解密update.cab并执行。这里动态分析时遇到问题，程序始终跑不到新进程里（startAdress函数），后面在update.cab如栈后直接把eip指过去完成的解密与转储。

0x05 update.cab分析

样本里会尝试从注册表里读配置，如果没有则用默认配置

查了下IP,属于是远控木马：