朝鲜用作水坑攻击的恶意软件分析

        前几天爆出朝鲜官方新闻网站在传播恶意软件的新闻，为了更快地获得最高指示针对这个软件进行了分析。
        .install flash player 10 activex.exe，这是下载的压缩包中的一个控件，运行它电脑可能会死机。例如：

        1.创建PE文件：

        2.线程注入
        a)以CREATE_SUSPENDED|IDLE_PRIORITY_CLASS创建explorer.exe 进程

        b)代码注入并恢复explorer.exe运行

        2.mscaps.exe
        mscaps是intaller.exe 释放的文件att.dll 运行时释放的文件。这个dll在运行的时候会初始话当前目录信息，并检查文件是否是在c:\\windows\system32中如果不是在这个目录中运行，程序就退出执行。然后将自己写入注册表，explorer.exe启动时启动。最后它还会在explorer.exe中注入一个线程。
        1.获取关键函数和要释放的代码

        2.释放文件，并修改文件的创建时间
        a)释放文件：

        b)修改文件时间

        3.检查启动目录

        4.写入注册表
        a)打开注册表键

        b)创建一个子健

        c)写入键值：

        5.线程注入
        a)查找并打开explorer 进程

        b)写入dll 名字，并用createremotethread 使用loadlibrary 启动新进程：

        最终写入的注册表键值是

        这会导致 mscaps.exe 会跟随explorer.exe的启动而启动。