✦ Excel文件分析

Excel类的Emotet主要使用了宏4.0，不同于以往宏病毒，宏4.0的解析需要拼接单元格中的字符来还原：

打开宏病毒会发现其宏代码界面为空：

样本中存在大量的隐藏sheet，其恶意代码均隐藏其中。

通过解析资源，我们可以到其会调用urldownloadfile外联地址并下载dll文件执行。

✦ Doc文档分析

Doc类文档会把自身的project进行加密：

打开其vba界面会发现可疑project，并且被加密，以此来保护宏代码：

经过破解得到其project代码主要是在关闭文档时执行释放的bat文件：

Bat文件经过base64加密混淆：

经解密后发现bat其行为是调用powershell外联恶意地址下载dll后执行，下载的dll均经过随机字符串命名。

✦ Dll文件分析

最终执行样本名为随机，besta.ocx为初始名称，其由宏病毒母体释放，之后以参数44531.6803328704通过rundll32运行，运行后，经过数分钟延时，再次以子进程重新执行自身C:\Windows\SysWOW64\besta.ocx。延时后，释放代码，代码经过加密处理，对所有api及参数进行加密保护，形如以下代码：

释放的代码为新的dll：

在联网的情况下，释放自身文件到以下目录的随机路径：

C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj

延迟后，第三次以子进程重新执行自身：

C:\Windows\SysWOW64\rundll32.exe "C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj",Psgip

之后第四次执行自身：

C:\Windows\SysWOW64\rundll32.exe "C:\Windows\SysWOW64\Afarrpbjz\ykunaogriwtv.vkj",Control_RunDLL

Dll经过多次运行后会释放到C:\Windows\System32\Hhhxkyjbrspraj\[random]，实际还是文件自身：

在这一次中，开始执行后门功能：

① 执行C:\Windows\system32\ipconfig  /renew刷新ip后开始尝试连接下列服务器：

② 流量使用https(8080端口)，内容经过bcypt加密：

③ 当服务器连接成功后，上报本机信息，接收指令，开始后门C&C。