简析"千层饼"式伪装方式的病毒

前言

有天看到一个分析Dridex银行木马的报告，想到自己对银行木马没什么了解，所以就从any.run上根据Dridex标签下载了一个样本来分析，结果分析到最后发现是一个Phobos勒索病毒，不过这个变种的伪装方式还是有分析价值的。

流程

利用CVE-2017-11882漏洞，在Excel文件打开时下载第一层恶意样本，第一层样本从资源段释放第二层恶意DLL，第二层恶意DLL利用第一层样本中的图片资源，异或解压缩提取出最终勒索病毒。

详细分析

恶意程序利用CVE-2017-11882漏洞下载主体文件
下载恶意程序

但是网站已经挂了

不过从any.run上下载了一个包含下载的恶意文件的pacp包，用NetworkMiner_2-5把其中的恶意文件提取出来。

下载文件的版本信息，看着没撒事情，