一、概述

样本运行后会释放《关于“XXXX”微信视频号发布短视频的信息说明.doc》并打开；同时释放ncloud.exe恶意文件并启动；调用cmd命令删除样本母体；其中ncloud.exe会从互联网下载类似字母表的数据解密出CS木马，在内存加载并运行。母体样本进程树如下图所示：

二、ncloud.exe样本分析

使用数字签名伪装成金山的云服务程序

 从https://iciba.ks3-cn-beijing.ksyuncs.com/wordlist/Unit1/class1.txt下载字母表，内容如下图所示：

使用ConvertThreadToFiber( )、CreateFiber( )、SwitchToFiber( )函数转入CS木马的加载代码，如下图所示：

申请内存解密出CS木马，并从入口点开始运行，如下图所示：

解密出的CS配置文件如下：

三、IOC：

40EF0DEEC0F87B5ABFB6ED3EAA24671C062AE71CA4E9CE61BF97C6C84080FD8C
0DF8C535DA8B2144F0EC1F0AC6DD8A05C42AA5365895B0E6BA6D3177401B1B3D
https[:]//iciba.ks3-cn-beijing.ksyuncs.com/wordlist/Unit1/class1.txt
https[:]//43.141.49.92/v11/wps/update/wpsoffice.11.1.0.15120.v1
https[:]//42.236.89.185/v11/wps/update/wpsoffice.11.1.0.15120.v1
https[:]//124.225.118.214/v11/wps/update/wpsoffice.11.1.0.15120.v1
https[:]//27.185.233.62/v11/wps/update/wpsoffice.11.1.0.15120.v1