流程图如下：

流程图

病毒分析

病毒初始样本通过增加体积（膨胀至100MB+以绕过云查杀上传）并伪装签名（无法通过验证）来欺骗用户。为确保恶意程序能在不同环境下顺利执行，病毒还携带了运行库，以防止程序因缺少必要的运行支持而无法正常运行。

Clash

首先，样本调用IsDebuggerPresent来检测是否处于调试环境，若未在调试器中，则将标志位设为0，并继续进入主函数的执行流程。

简单反调试

随后，样本跳转至虚拟化代码段执行。该段采用代码虚拟化技术（VMProtect指令混淆），通过PKZIP算法对资源节中的恶意载荷——易语言编译的Etools.dll1（易之卫定制版）进行解密。

释放恶意dll

其PKZIP解压算法如下。

PKZIP算法

解压

接着，样本利用LoadLibraryA动态加载已解密的Etools.dll1，并调用其导出函数WhiteTool，执行流程如下。

加载Etools.dll1

Etools.dll1由易语言编写而成，经特定的黑月编译器优化处理后借助VMP技术进行加壳。该病毒会增大自身文件体积，以此绕过云查杀系统的检测并实现上传，同时，它还会通过伪造虚假证书签名来掩盖恶意行径。

VMP

易语言程序

深入分析该DLL后，发现其主要借助自定义派遣函数来执行恶意代码。其具体功能由参数一决定。以下是其参数一对应的各项功能。

0peekmessage

1分配内存

2写文件

3创建进程

dispatch

其DLL的核心逻辑如下。

在释放病毒阶段，依据进程名称来决定执行的功能。由于此时处在释放病毒阶段，作者将功能函数留空（之后在病毒执行阶段添加实际功能）。随后，病毒会释放并执行恶意程序uok进程，同时运行Clash的WinRAR自解压安装程序，以此完成钓鱼过程。

uok进程

根据进程名执行相应的功能，并释放不同的病毒文件。

dispatch

之后，病毒运行Clash for Windows.exe，执行WinRAR自解压的正常Clash安装程序，以此完成钓鱼过程。

释放Clash安装程序

由于病毒采用了VMProtect虚拟化混淆处理，因此采用Unicorn进行指令模拟来对其进行分析。

派遣函数参数二：写文件

派遣函数参数三：执行进程

uok.exe释放后，与Clash一样，会将Etools.dll2释放到临时目录并加载其导出函数。此时，Etools.dll2的功能发生了变化，它会释放多个文件到公共文档目录。

路径包括：

C:\Users\Public\Documents\QQ\

C:\Users\Public\Documents\123\

文件：audidog.exe、TASKMAN.exe、spolsvt.exe、Mpec.mbt

之后，病毒利用AppCompatFlags的兼容性标志，强制目标程序以管理员身份（~ RUNASADMIN）或用户权限（RunAsInvoker）运行，改变UAC行为，绕过权限提升提示。

执行权限

随后，病毒会释放audidog.exe、TASKMAN.exe、spolsvt.exe、Mpec.mbt等文件，并通过调用ShellExecuteExW函数来执行TASKMAN.exe。

执行TASKMAN.exe

TASKMAN.exe与Clash.exe加载方式相同，均采用释放Etools.dll3的方式，并加载其导出函数whitetool函数。通过对进程名匹配来执行相应函数，之后借助线程注入（指令模拟）的方式执行spolsvt.exe，同时启动audidog.exe（进程守护程序）。

TASKMAN.exe

线程注入

注入到spolsvt.exe进程中的恶意代码主要实现以下功能。

构造路径并释放病毒文件。

调用fn_dispatch()函数对路径、资源或注册表进行设置，或执行模拟行为。

从PNG文件中提取payload，并调用fn_thread_inject()函数，将某些执行体（如EXE文件）注入到其它线程中，以实现后门功能。

线程注入：后门功能

病毒会再次释放相关文件，并通过注入svcoth.exe来实现剪贴板监听功能，其病毒文件如下。

线程注入：剪贴板功能

后门分析&剪贴板

病毒通过二次注入到spolsvt.exe实现后门功能，开辟可读、可写、可执行的内存，以执行恶意代码。

执行恶意代码

将病毒dump出来后发现其为PE结构的DLL，深入分析发现其后门功能包括以下内容。

功能图

0x00关机注销重启：通过ExitWindowsEx函数实现关机、重启、注销的调用。

0x01卸载后门：删除服务项、删除病毒文件。

0x02修改后门地址：病毒将Host字段写入注册表，并通过修改注册表进行修改。

关机、卸载、地址

0x03修改备注：修改注册表以响应病毒服务端的备注。

修改备注

0x04清理日志：通过有针对性地删除系统中“Application”（应用程序）、“Security”（安全）及“System”（系统）这三类关键事件日志，以清理自身的攻击轨迹。

清理日志

0x05下载执行与0x06下载执行2：通过网络读取URL，下载文件内容并执行其进程。

下载执行

0x07打开url默认打开与0x08打开url无窗口：通过注册表获取IE路径，并利用IE打开指定网址。

打开url

0x09创建进程：通过CreateProcessA或ShellExecuteExA打开指定进程。

打开进程

0x0A发送弹窗：通过创建线程的方式执行服务端发来的弹窗命令。

0x0B进程列表：通过系统API获取系统进程列表，并匹配相关进程名称。

弹窗、进程

0x0D开启网络代理与0x0E关闭网络代理：网络代理以插件形式执行，通过内存加载DLL的方式，调用其导出函数OpenProxy开启代理，调用CloseProxy关闭代理。

网络代理

0x0F插件执行：通过分配可读、可写、可执行的内存，并以内存加载DLL的方式修复PE，随后调用导出函数PluginMe来实现插件的加载。

插件执行

0x75修改启动项：通过修改注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run实现对系统的持久化操作。

启动项

获取剪贴板记录：通过调用系统相关的剪贴板API实现对剪贴板的读取。

剪贴板

溯源分析

对病毒中的“易之卫(病毒模块DLL中的字符串)”进行分析后发现，其为易语言提供免杀支持，主要通过代码体积膨胀以及加VMProtect代码虚拟化的方式来逃避杀软检测，并以“卡密”验证的形式公开售卖，同时还在B站等平台进行推广。

售卖易之卫

利用平台推广易之卫

通过在B站上的群号以及病毒文件中的QQ号进行溯源，发现该病毒开发者主要为黑灰产提供定制化技术支持，以此非法牟利。

账号

通过对作者留下的QQ进行溯源分析，发现其与以下信息线索存在关联：

QQ号信息

通过手机号进一步溯源发现，其存在相关泄露信息，之后通过支付宝校验收款人功能和账号找回功能得到了病毒作者的姓名等信息：

病毒制作者相关信息

C&C：

HASH：