由威胁分析人员Augusto Remillano II，Mohammed Malubay和Arvin Roi Macaraeg撰写）

LokiBot具有收集敏感数据（如密码和加密货币信息）的能力，证明其背后的参与者已投入资金来发展威胁。过去，我们看到过一个利用远程代码执行漏洞利用Windows Installer服务提供LokiBot，使用ISO映像的Lokibot变体以及使用隐写术具有改进的持久性机制的变体的运动。最近，我们发现了LokiBot（被趋势科技检测为Trojan.Win32.LOKI），它冒充了流行的游戏启动器，以诱骗用户在其计算机上执行它。进一步的分析表明，此变体的示例使用了一个古怪的安装例程，该例程涉及删除已编译的C＃代码文件。

这种不寻常的LokiBot变体使用了“交付后编译”检测规避技术，并被 趋势科技解决方案内置的机器学习检测功能Troj.Win32.TRX.XXPE50FFF034 主动检测和阻止。

技术分析

感染始于一个文件，该文件可能是Epic Games商店的安装程序。该伪造的安装程序是使用NSIS（Nullsoft脚本安装系统）安装程序创作工具构建的。在此活动中，恶意的NSIS Windows安装程序使用Epic Games的徽标（Fortnite等流行游戏背后的开发公司）诱骗用户以为它是合法的安装程序。

图1.以游戏安装程序为幌子的LokiBot恶意软件安装程序的文件图标

执行后，恶意软件安装程序会在受影响计算机的“％AppData％目录”中删除两个文件：C＃源代码文件和.NET可执行文件。

图2.安装程序脚本的屏幕截图

对.NET可执行文件的进一步分析显示，文件严重混淆，其中包含大量垃圾代码，使反向工程更加困难。

图3.屏幕截图显示了已删除的.NET可执行文件的主要功能

然后，.NET可执行文件将在受感染的设备中读取并编译删除的C＃代码文件，该文件名为“ MAPZNNsaEaUXrxeKm”。

图4.代码片段的屏幕快照显示了可以在二进制文件中找到的部分垃圾代码（顶部），以及显示了如何读取和编译已删除的C＃代码文件的代码（底部）

编译C＃代码文件后，二进制文件将使用InvokeMember函数调用C＃代码文件中存在的EventLevel函数。被调用的函数将解密并加载嵌入其中的加密汇编代码。

图5.代码截图显示了二进制文件调用EventLevel（）函数

图6.代码片段显示了如何解密汇编代码

LokiBot示例的安装例程结合了两种技术来逃避检测：第一，它使用C＃源代码来逃避仅针对可执行二进制文件的防御机制。此外，它还使用嵌入在C＃代码文件中的加密汇编代码形式的混淆文件。

感染的最后阶段是执行LokiBot有效负载。在野外最活跃的信息窃取者中，对安装和混淆机制的这些调整表明，LokiBot在不久的将来不会放慢速度。