樣本資訊

病毒名稱：cve-2012-0158 APT病毒
所屬家族：APT木馬後門
MD5值：52E3DDB2349A26BB2F6AE66880A6130C
SHA1值：52E3DDB2349A26BB2F6AE66880A6130C
CRC32：7D21F812
病毒行為：感染主機，留下後門，允許遠端操控

測試環境及工具

測試環境為虛擬機器win7專業版
所使用到的工具：火絨劍，Pchunter，od，ida

主要行為

執行帶病毒的Word文件後，會在臨時目錄釋放hkcmd.exe，原本的DOC檔案，並執行hkcmd.exe。

Hkcmd檔案執行後，會釋放datac1en.dll檔案到系統目錄

並對登錄檔設定了相關的值


執行完畢之後，會結束自身程序，銷燬自身檔案

惡意程式碼分析

首先定位到緩衝區溢位地方

位元組長度為8181，可見利用了緩衝區溢位漏洞實現ShellCode的執行
檢視shellcode程式碼

建立檔案，記憶體對映，申請記憶體，寫入pe檔案資料，然後寫出到檔案。
完成hkcmd檔案的寫出與原本的doc檔案寫出。

最後執行hkcmd.exe檔案，開啟原本的doc文件。

接下來就是hkcmd.exe檔案的執行，Hkcmd檔案執行後，會釋放datac1en.dll檔案到系統目錄，然後設定登錄檔項，註冊為系統服務

執行完畢之後，會結束自身程序，銷燬自身檔案

現在需要分析一下datac1en.dll檔案。
使用IDA分析，直接F5反編譯一下原始碼

可以看到呼叫了許多有關注冊表的函式，十分可疑。
在部分函式內部，可以看到獲取有關網頁通訊的API操作

可以猜測是與網頁操作有關的

並且部分明文經過了加密
經過大概分析，有一個函式比較可疑，裡面有不同的操作，通過判斷nType的值進行

裡面囊括了建立結束程序，執行緒，遍歷檔案，驅動器，與遠端通訊等操作。
可以猜測這個dll檔案是註冊到系統服務的，然後後臺一直與遠端進行通訊，可以根據遠端傳送的名稱，進行對應的操作。

提取病毒的特徵，利用防毒軟體查殺

可以通過查詢位元組碼特徵，使用防毒軟體查殺。

手工查殺步驟或是工具查殺步驟或是查殺思路等

進入安全模式，刪除系統目錄下datac1en.dll檔案，臨時目錄的hkcmd.exe與datac1en.dll檔案。
刪除登錄檔鍵值