新的僵尸网络大军正在组建，小心中招！

近期，金山毒霸安全实验室捕获到一类木马病毒非常活跃，用户反馈较多，感染量比较广。国外5月份感染量达到30万，并且呈现上升趋势，到7月份感染量，已经达80万之多。国内用户也频繁中招，此病毒通过伪造邮件传播，诱导用户点击链接，下载含有恶意宏病毒的Office文件，一旦用户执行此宏文件，则会下载病毒作者云端的可执行文件，当然此云端文件可以根据作者的需求随时做修改，它真正的攻击模块都是可变的，是基于一个庞大的僵尸网络系统。

此次攻击者利用已经被攻陷的肉机来做中转站，出现大量的僵尸网络。根据这个病毒的家族史来看，僵尸网络一向就是他们的核心利用点，以下只是这个病毒家族利用过的网络域名，但这仅仅是九牛一毛。

病毒下载流程 

执行流程

此病毒利用宏，解密CMD命令并且执行后又动态解密一段powershell进行下载执行其僵尸网络配置的可执行程序。

此病毒利用宏，解密CMD命令并且执行后又动态解密一段powershell进行下载执行其僵尸网络配置的可执行程序。

具体病毒流程 恶意邮件

此邮件，包含一个恶意链接，只要用户点击，就会从云端下载一个含有恶意宏病毒的Word文件。

 恶意Word宏文件

 恶意Word宏文件

首先进入Document_open() 函数。

宏会依次解密出CMD命令。

解密得到一个CMD命令，也是简单混淆过的，再次解密后如下

CMD解密后的作用是调用Powershell，进行下载执行，到此一个前期传播下载的功能就执行完毕了。

下载后宿主程序会分配内存，并且解密一个PE文件（A）到已分配好的内存中，并且加载它，当A程序执行的时候，又会释放一个PE文件（B）,当然还在宿主程序内存空间中，与之同时还会释放shellcode，所有的业务核心代码都在shellcode里面执行，外围的只是一个loader作用，目的是来隐蔽自己，绕过杀软。

前期的花式loader都是为了隐蔽自己，其核心功能在shellcode中，会发送用户的信息，并以Cookie方式提交到作者的肉机服务器。