公众号：老油条运维

记录某个对某个钓鱼事件中获取的钓鱼样本进行分析，以及简单的制作学习
样本行为分析
首先看到是 qq 邮箱发来的某个压缩包大概本身是带密码的，反手就丢到虚拟机先看下大概文件，解压后是这样的一个快捷方式
 

然后打开属性查看快捷方式，看到他运行了一个 rundll32.exe 的文件，应该很多人已经知道这是为了调恶意的 dll，但一看就一个 rundll32.exe 后面全被空格隐藏了后面的命令执行
 

但解压开确只有一个 lnk，小问题，我们打开 cmd 命令执行 dir /a
 

我们只需通过该命令
attrib -s -a -h -r C:\Users\14022\Desktop\北京交通大学-xxxx\北京交通大学-xxxx.pdf
就可以将该恶意脚本显示，不然无论查看如何设置都是不行的
 

显示出来后，看到 rundll32.exe 驱动的就是这个 dll(这个pdf后缀的文件就是将dll文件改成pdf后缀然后用rundll32来进行运行)，显然这就是那个可恶的马仔了，立即拿出我的 ida pro 丢进去分析一手
好小子，居然是 apc 注入将 shellcode 注入进 rundll32 进程最后远控会连

继续往下摸索看到了该远控指向的地址www.microsoftdnsserver.xyz:2087，这个丢微步的云沙箱也可以解析分析到，全局搜索

确实是为恶意域名
样本简易制作方式解析
首先是对快捷方式的参数的隐藏，这里笔者做了一个简单的 python 脚本作为例子，具体展示在参数这块

因为快捷方式只能容纳 260 个字符，我在参数添加了 n 个空格作为隐藏，其真实参数为/k calc 为启动一个计算机的操作，运行生成 cmd_shortcut.lnk
 

打开属性进行查看,参数也依然被隐藏

点击后弹出计算机

完成了病毒样本做的第一个恶意样本操作之后我们接下来就对 pdf 的隐藏，这块也算比较简单，我直接贴命令演示
attrib +s +h C:\Users.…\Desktop\1.txt 参数后面为需要隐藏的文件，这样也就完成了对该病毒样本的简单分析与制作

没看够~？欢迎关注！