蔓灵花APT

样本一开始文件名是：Update Required Case Enq No 192_2018.docx.com
样本截图：

用到的方法是文件后缀名欺骗
检查一下加没加壳

该程序应该是由C编写的

加载IDA开始分析，加载的时候可以看到pdb
备注：/PDBPATH 将沿调试器搜索 .pdb 文件的同一路径搜索计算机，并将报告哪些 .pdb 文件（若有）和 filename 中指定的文件相对应。

使用 Visual Studio 调试器时可能会遇到问题，这是因为调试器对调试文件的不同版本使用 .pdb 文件。
经过分析这个Update Required Case Enq No 192_2018.docx.com是一个DownLoader下载者木马

01.Downloader-初始化加载模块

这个初始化在家模块实现了将自身加到注册表启动项，以及将自身本体文件拷贝到C:\intel下

载入IDA后可以看到入口的WinMain函数

Sub_401140`函数里面的窗口回调函数如图，并没有任何问题
调用ShowWindow函数将程序窗口设为隐藏，以达到隐藏的目的。
分析sub_401330函数

调用mkdir函数创建文件C:\\intel

sub_401F00函数具体如图：

调用CreateThread创建线程，线程回调函数StratAdress
Parameter：
解密出环境变量ComSpec
获取环境变量ComSpec的路径
得到结果：cmd路径

建立与cmd.exe的匿名管道进行通讯，并创建子进程

cmd.exe
调用WriteFile函数向cmd.exe写入copy指令实现复制文件
如下图所示
打开注册表启动项（HKEY_CURRENT_USER\Software\Micrsoft\Windows\Currentversion\Run）

判断启动项是否存在如果存在不重新写启动项，不打开木马文件转向下面执行

如果不存在则调用CreateThread创建线程sub_404670来写入开启启动项然后退出进程

将后续工作交给msdtcv.exe这个文件

02.Downloader 下载功能模块

当初始化模块结束后，完成文件重命名复制以及注册表自动启动后

msdtcv.exe立即启动，按照初始化模块的操作进行了一遍检查后，开始与C&C(远程命令和控制服务器)服务器进行交流。
一直获取服务器回显指令。
进入这个函数可以看到
木马与C&C的交流
进入函数sub_402BA0
通过C&C服务器域名：framworksupport.net获取与IP：162.222.215.90；端口：80 简历socke连接
项C&C服务器发送上线信息以及请求下一步指令的报文

报文如下：
下载攻击者制定文件
执行下载文件
再次进行信息发送以及接收回显

发送信息以及下一步请求

接收回显
由于木马下载地址页面不能正常访问，木马也不能被下载，不能对木马进行分析。