原文首发出处：

https://xz.aliyun.com/t/15182

先知社区 作者：熊猫正正

近日有朋友通过微信发我一个样本，如下所示：

在VT上查了一下样本，发现竟然只有一个报毒的，如下所示：

样本第一次上传的日期是2024年7月12日，到现在为止也还只有一家报毒，笔者针对这个最新的免杀样本进行了详细分析，分享出来供大家参考学习。

1.样本解压之后，如下所示：

2.采用白+黑的方式加载恶意DLL，如下所示：

3.恶意DLL在VT上的识别率非常低，通过分析它的导出函数，基本都使用MessageBoxA进行重构，如下所示：

4.然后发现有一个函数没有使用MessageBoxA，如下所示：

5.对比这个函数与原文件函数，如下所示：

6.进入这个函数，发现会读取内目录下的TXT加密数据，如下所示：

7.然后通过函数解密加密的数据，如下所示：

8.读取TXT文件加密数据到内存当中，如下所示：

9.解密加密的数据，解密之后，如下所示：

10.解压缩上面解密后的数据，如下所示：

11.解压缩之后，如下所示：

12.解压缩后的PayLoad使用UPX加壳，编译时间为2024年6月5日，如下所示：

13.使用upx解壳，如下所示：

14.将解密解压缩出来的PayLoad拷贝加载到分配的内存空间，如下所示：

15.抺掉PE文件标识，如下所示：

16.抺掉PayLoad的PE文件标识之后，如下所示：

17.跳转执行到PayLoad的入口代码处，如下所示：

18.执行解壳代码，最后跳转到脱壳后的代码入口点，如下所示：

19.创建互斥变量，使用IsDebuggerPresent反调试，如下所示：

20.获取系统信息和内存状态等信息反虚拟机，如下所示：

21.指定进程的优先级，如下所示：

22.解密远程服务器C2配置信息，如下所示：

23.解密函数，如下所示：

24.解密出来的远程服务器C2配置信息，如下所示：

25.判断是否为管理员权限，如果是管理员权限，则执行相关的操作等，如下所示：

26.查询相关的注册表键值，如下所示：

27.如果注册表键值存在，则启动相应的服务，服务名为Windows Eventn，如下所示：

28.创建指定的文件目录，如下所示：

29.将文件夹设置为隐藏属性，然后将文件拷贝到生成的文件目录下面，并创建相应的服务自启动项，如下所示：

30.拷贝完成之后，如下所示：

31.创建的服务自启动项，如下所示：

32.与远程服务器通信，通过不同的指令执行不同的操作，其中包含文件进程管理，上载下载等功能，还有一些扩展模块的功能，如下所示：

该部分功能代码与此前变种功能代码基本一致，就不一一列举了。