1.初始样本为一个JS恶意脚本，恶意脚本里面带有很多垃圾注释代码，如下所示：

2.去掉无用的垃圾注释代码之后，如下所示：

3.恶意脚本解析还原上面包含的恶意代码，从远程服务器上下载恶意MSI安装程序并安装执行，如下所示：

4.恶意安装程序会启动rundll32.exe进程执行恶意模块，如下所示：

5.恶意模块启动执行之后，进程信息，如下所示：

6.获取相关函数地址，然后通过VirtualAlloc分配相应的内存空间，如下所示：

7.通过异或算法解密程序中的加密数据，解密密钥为P9zw@Hg6cquhA0ZMRr^c，如下所示：

8.解密之后的PayLoad数据，如下所示：

9.分配新的内存空间，将解密后的PayLoad加载到新的内存空间当中，然后跳转执行到PayLoad入口代码，如下所示：

10.解密出来的PayLoad疑是BRC4后门模块，如下所示：

11.PayLoad加载程序中包含的恶意模块代码，并调用其导出函数StartW，如下所示：

12.程序中包含的恶意模块代码，如下所示：

13.StartW导出函数代码，使用长时间休眠逃避自动化沙箱，如下所示：

14.加载执行到恶意模块的入口点代码处，如下所示：

15.分配内存空间，将程序中包含的ShellCode代码数据写入到内存空间，然后调用远程线程执行ShellCode代码，如下所示：

16.写入到内存的ShellCode代码数据，如下所示：

17.最后跳转执行ShellCode代码，如下所示：

18.解密ShellCode中的加密数据，如下所示：

19.解密之后的PayLoad数据，PE文件头被抺掉，如下所示：

20.然后跳转执行到解密出来的PayLoad入口代码处，如下所示：

21.PayLoad入口代码，如下所示：

22.获取相关函数地址，如下所示：

23.PayLoad在内存中解密出远程C2配置信息，如下所示：

24.解析出远程服务器C2域名信息，如下所示：

25.解析出远程服务器端口信息7444，如下所示：

26.解析出远程C2服务器URL请求后缀信息，如下所示：

27.获取主机相关信息，如下所示：

28.将获取的主机相关信息，按固定的格式拼接请求数据包，如下所示：

29.将请求数据加密，加密之后，如下所示：

30.然后与远程服务器通信，通过POST将请求数据发送到服务器端，如下所示：

到此整个恶意软件加载执行过程就分析完毕了。