样本执行流程图如下：

样本流程图

该样本采用Nullsoft Scriptable Install System（NSIS）进行封装打包，将正规远程控制软件ToDesk_4.7.6.3.exe与恶意组件共同打包，以此伪装成合法软件安装包。对其安装脚本文件进行解析发现，其中的恶意文件为soft_libexpat.dll。 该恶意文件通过脚本初始化函数.onInit进行加载，同时释放正常的ToDesk安装程序进行伪装。

安装文件

NSIS Setup Script

首先，myFunction会通过WMIC命令以及底层驱动通信获取主板序列号、网卡PNP ID、MAC地址等信息。之后，获取环境配置以及区域标识，生成注册表项。

具体的WMIC命令如下：

ELECT PNPDeviceID FROM Win32_NetworkAdapter WHERE (MACAddress IS NOT NULL) AND (NOT (PNPDeviceID LIKE 'ROOT%'))

SELECT SerialNumber FROM Win32_DiskDrive SELECT SerialNumber FROM Win32_BaseBoard SELECT ProcessorId FROM Win32_Processor

SELECT SerialNumber FROM Win32_DiskDrive WHERE (SerialNumber IS NOT NULL) AND (MediaType LIKE 'Fixed hard disk%')

SELECT Manufacturer,Name,ProcessorId FROM Win32_Processor SELECT MACAddress FROM Win32_NetworkAdapter

注册表填充内容如下：

HKEY_CURRENT_USER\Software\Microsoft\kantu 

"ud"：本机标识

"ch"：渠道标识

"of"：option flag

"act"：激活选项

"DateExt"：浏览器插件数据

WMIC

IOCTL获取配置信息

注册表操作

随后，利用获取到的本机配置信息ud以及当前进程环境数据（包括进程PID和进程名称），构造特定格式的URL并对其进行加密处理。之后，通过Get请求进一步获取网络下发的恶意DLL的地址。

加密前URL链接

Get请求

服务器返回伪装成图片的响应内容http://file.kantu365.com/file/img/repaint9/195.png。之后，样本再次请求该图片链接，最终在内存中加载获取到的DLL，执行第二阶段的恶意代码。

图片文件、内存加载DLL

进一步分析请求响应发现，样本会将加密之后的DLL进行回传，之后通过解密并内存加载PE的方式运行网络下发的DLL。

请求响应

解密PE

内存加载DLL

恶意DLL首先获取用于推广浏览器插件的链接http://file.kantu365.com/file/483/dataup22039.dat。具体操作如下：

样本在后台静默下载该数据文件。

通过重命名以及移动到浏览器插件目录的方式安装浏览器插件。

浏览器插件

之后，再次构造加密URL（http://xz.xtione.com/bit/vce?k=mkzM9E2Y54yM9Umd9QWdmkjLhNWN1UmZkZWNhhzY2IjNhJTYxUTO5UGN3EmZzQ2Nz0DdmcjNx0DZhZSOkZCM=0TYmATP）获取第二层恶意DLL及驱动注入文件。

加密前URL参数

发送Get请求

对响应内容进行解密，解密后的内容如下：

下载规则

1. 恶意推广DLL：

begonia.jpg与ViewHelper.dll为功能相同的恶意推广模块。

通过计划任务持久化加载，具体命令行为C:\Windows\System32\rundll32.exe C:\Users\Admin\AppData\Local\sord\begonia.jpg,main 5。

2. 内核级注入驱动：

zanbacng.jpg为伪装成图片的内核APC注入驱动，用于内核层PE注入进程执行。

之后，通过添加计划任务的方式加载begonia.jpg，具体命令行为

C:\Windows\System32\rundll32.exe C:\Users\Admin\AppData\Local\sord\begonia.jpg,main 5

计划任务

其次，样本会根据注册表获取WPS启动程序路径，并新建临时路径C:\Users\Admin\AppData\Local\temp\wps.csv的csv文件。

之后，构造命令行C:\Users\Admin\AppData\Local\Kingsoft\WPS Office\ksolaunch.exe C:\Users\Admin\AppData\Local\temp\wps.csv /startup_source=mengfan1，附加启动参数/startup_source=mengfan1进行隐藏窗口静默启动操作。

随后，通过启动参数进行流量暗刷。若启动成功，则发送请求执行信息上报操作。

静默启动WPS，流量暗刷

信息上报

对begonia.jpg进行分析发现，其开头与soft_libexpat.dll相同，通过注册表查询已写入日期的方式，判断当日是否已运行。之后采用同样的方式内存加载DLL，其DLL链接为http://dc.kantu365.com/draw?k=2IDM9QWd5UGZwYWN2gjYlJWZ4YjZyE2Y1IWM5cTYmI2YjhTNzATM9E2Yx0TYmMzMhZCM9QmJ9QnJw0DZy0TZkZSNwcDM1IDMlZHcjZiNyZmJ50jc1IzM902bu92ZlJ2XnBnauEWay1DZoRnJzwGbk5WdmUGel5iM50jclZ3c

http://file.kantu365.com/file/img/repaintsv9/194.png

内存加载完成后，通过系统配置信息构造URL链接，以获取推广规则。该过程会根据渠道ID和日期，回传不同的推广规则响应。已经发现的规则如下。

推广规则

基于JSON数据进行分析并对样本行为进行检测发现，该样本的恶意推广行为有以下几种：

桌面快捷方式：创建名为“淘宝-全新版”的桌面快捷方式，其URL地址为https://tao.itemvs.com/index/active/h/desk/html。

图标闪烁：通过桌面右下角动态闪烁图标（doubao.ico），结合诱导性文案“打破信息差办公助手，无限免费！”，吸引用户交互。点击后会跳转至nduo2.kanturj.com页面。闪烁时长为120秒、次数为1200次。

金山毒霸静默安装推广：后台自动下载安装包（duba_u18870798_sv1_224_3.exe），并跳转至携带追踪参数bc_fl_src=tbsite_hxJiwyWP的淘宝页面。

360画报SDK植入：下载360画报SDK动态链接库（cssdk.dll/cssdk64.dll），通过导出函数InstallHuabao和LaunchHuabao实现静默安装（注：该模块同时包含浏览器推广安装相关函数）。

进程注入行为：加载辅助模块（1018x32.dll/1018x64.dll）执行PE注入，且所有操作均具有静默安装功能，不会触发用户授权提示。

之后，创建一个多线程任务分发函数，主要功能是同时启动多个恶意行为线程，根据响应的JSON执行不同的功能：

fn_shortcut：创建桌面快捷方式（诱导用户点击）。

fn_ShellExecute：下载并执行外部程序（静默安装推广软件）。

fn_flicker：图标闪烁（桌面右下角图标闪烁，吸引用户注意力）。

fn_image：加载图片。

fn_install_huabao：安装360画报SDK。

fn_inject_proc：进程注入（将代码注入其他进程，规避检测或提权）。

fn_gaige：下载DLL的远程线程注入PE模块。

金山毒霸安装包

360画报SDK

驱动模块分析

其中，zanbacng.jpg为驱动注入模块，主要通过内核APC实现注入。该模块在DriverEntry中动态获取大量API，并通过加载shellcode的方式执行APC注入和注册相关进程回调。

驱动API动态获取

内核APC注入

对驱动中注入的PE进行dump分析发现，其与上文样本逻辑相同，仅将导出函数由update更换为Load LoadEx。该模块同样采用根据电脑配置生成注册表并将配置构造URL获取下发恶意DLL的方式执行推广。

样本PE