威胁直击 | 紧盯办公文档，Spreadoc感染型病毒强势来袭！

事件描述

近期亚信安全针对较为流行的SPreadoc感染型病毒进行了分析，该病毒是一种具有后门功能的感染型病毒，其会感染exe、pdf、doc、docx后缀文件。本次分析的样本通过注入系统进程保持持续性感染及远程控制操作。亚信安全将该感染型病毒命名为：PE_ASRUEX.A。

感染型病毒是企业及用户经常遇到的病毒种类之一 ，在亚信安全2021年病毒类型排名中，感染型病毒居首位，其感染数量非常庞大。因感染型病毒会在正常的程序或者文档中插入恶意代码，看似正常的程序会被检测为病毒，很容易让用户误以为是误报，请用户注意防范。

攻击流程

亚信安全产品解决方案

√ 亚信安全病毒码版本17.153.60，云病毒码版本17.153.71，全球码版本17.153.00已经可以检测，请用户及时升级病毒码版本。

√ 亚信安全DDAn沙盒平台可以检测此感染型病毒：

病毒详细分析

沙箱环境检测，通过调用createprocess函数比对返回值，正常执行返回值为5，当运行在沙箱环境中返回值为2。

检测是否位于沙箱环境中。

创建进程快照，遍历查找如下进程。

将病毒文件拷贝至%appdata%\Roaming目录下，原始文件路径作为参数传入并执行。

读取.EBSS区段数据。

解密读取的数据并写入至原始文件，重新执行。

判断当前系统位数，如为64位操作系统，后续释放64位病毒文件。

获取系统版本，使用反射注入的形式将恶意dll加载至系统进程。当系统版本低于server2008，则注入如下进程：

• wksprt.exe

• ctfmon.exe

• explorer.exe

否则，注入wsmprovhost.exe进程。

在注入前检查当前进程列表是否存在如下杀软进程。

向上滑动查看所有内容

恶意DLL模块分析

获取可移动磁盘驱动器信息，如果当未发现可移动磁盘，则程序退出。

遍历查找移动磁盘上需要感染的相关后缀名的文件。

病毒的感染操作在temp目录下进行，将当前病毒文件拷贝至temp目录下，获取需要感染文件的信息，并写入至病毒EBSS节上，设置对应的资源、文件属性和时间，将文件拷贝至原始文件路径，完成感染。

感染移动磁盘文件夹内的变动文件。

后续执行C&C命令，包含文件、进程、注册表和网络连接等操作。

向上滑动查看所有内容

安全建议

√ 部署安全产品，并及时更新组件及特征库。

√ 打开系统自动更新，并检测更新进行安装；

√ 不要点击来源不明的邮件以及附件；

√ 不要点击来源不明的邮件中包含的链接；

√ 采用高强度的密码，避免使用弱口令密码，并定期更换密码；

√ 尽量关闭不必要的端口；

√ 尽量关闭不必要的网络共享；

√ 请到正规网站下载程序；

√ 避免使用盗版系统、激活工具等；

IOC:

MD5: C5715F77EFA7846652F1D2DCBE9BAD58