近期，我们在下载一份PDF文件时发现一枚简单的恶意Downloader（一种病毒类型）。与其他恶意加载器不同，该恶意软件在其二进制中加入了PE Loader。

肉鸡上线了？

一旦执行，加载器就会抓取本地用户的系统信息，然后生成一个URL，最后连接到一个服务器。

在上面的实例中，AVA****5（第一个被遮挡部分）是受害者的计算机名。紧接着后面的51-SP是系统的版本。

分析李鬼

加载器下载的这个文件虽然是PDF的后缀，但是文件中的内容却与PDF文件大相径庭。

这个加载器将0x74E7E1C8嵌入这个虚假的PDF文件中来进行掩饰。解密过后，如果长度和整个虚假PDF相同，那么加载器检测offset 0×12双字节的值。如果其与硬编码的签名0x2E0F1567 相同，那么就检测位于offset 4的另外一个双字节值。

加载器引导代码调用云端加载器

在上面的代码中，esi中包含了“PDF文件”的起始偏移地址，call eax实际将执行云端的加载器

我们可以看出offset 0×1134是RtlDecompressBuffer API的地址，调用API后，这个恶意PE文件就会出现，然后云端加载器使用一个小技巧来检测MZ Header Signature。

在我们的分析过程中，我们发现这个恶意软件在下载其他一些不同的恶意软件，比如W32/Battdil.I!tr 和 W32/Kryptik.CWIM!tr.

总结

为何这个恶意软件会将加载器从其二进制文件中移除呢？我们认为，这款恶意软件是为了帮助攻击者精减目标，同时云端加载器也方便恶意软件作者在以后添加更多的功能。

文章来源：FreeBuf黑客与极客（FreeBuf.COM）