病毒丨3601lpk劫持病毒分析 | 您所在的位置:网站首页 › live2dviewer导入lpk › 病毒丨3601lpk劫持病毒分析 |
作者:黑蛋 文件名称:1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb文件类型(Magic):PE32 executable (GUI) Intel 80386, for MS Windows文件大小:52.50KBSHA256:1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fbSHA1:8389fb0466449755c9c33716ef6f9c3e0f4e19c8MD5:304bbe0e401d84edf63b68588335ceb6CRC32:757BDFA1SSDEEP:768:QfvoyXXQkZuzQE98Fs+UwMVdPG42EmAjE/yQd07d21a1Xxu0HfqaWF6i5XcojY9U:QfvoyXgkAP2EFjtQd07k1sXPHijmUImpHash:bdd8c968182d3c29007cb3a7a7e8fe4c 二、环境准备系统win7x86三、行为分析接下来借助火绒剑查看一下行为。 这里同样是生成了一个子病毒,我们简单进行一下过滤,文件创建写入,注册表创建,网络行为等: 可以看到,在c:\Windows下生成一个子病毒,当然也注意这里生成了一个hra33.dll: 然后通过cmd删除自身: 这就是母体干的事,接下来看看子病毒干的啥事: 首先这里是干了一些资源释放,在多个文件路径下创建lpk.dll,向下继续看的话,可以看到在很多路径下都有这个dll,他应该是遍历,在所有文件夹下面创建这个dll: 随后就是网络链接操作了: 可以看到一直在进行发包收包操作,结合沙箱的分析结果: 可以看到一共访问了三个域名:http://sbcq.f3322.org;www.520123.xyz;http://www.520520520.org总结一下就是释放dll,网络链接; 四、静态分析拖入PEID,啥也没,应该是被脱过了: 拖入IDA中,直接在winmain函数处F5: 可以看到这里是一个简单的判断服务是否启动,启动的话进入else,服务名Ghijkl Nopqrstu Wxy; 4.2、sub_40561A接下来看回调函数sub_40561A: 这里主要是创建了4个线程,首先看sub_405394; 4.2.1、sub_405394进去之后再走到EnumFunc函数中: 这里是定位资源,然后再当前目录下创建文件,写入资源内容; 4.2.2、sub_4053A6主要在这里,看病毒文件是否存在,存在就拿到句柄,把服务加入资源文件中。 4.2.3、sub_4034E5这是一个简单的加载hra33.dll的函数; 4.2.4、sub_402DD5首先可以看到这里,一些用户名和密码,这里应该是用来暴力测试; 这里不断地是获取主机名,再获取hostent结构,然后枚举用户名密码进入sub_402AD0, 这里就是建立连接,通过局域网传播病毒。 4.2.5、sub_4051E0、sub_405241、sub_40387C这三个回调函数一样,在不同服务器上下载东西,执行,我们只看第一个,一直跟进回调函数到StartAddress: 可以看到这里都是一些在服务器中下载东西,然后跑起来,最后删除自己,其他俩个函数和这个函数一样,无非就是服务器地址不同,最后一个函数里面服务器域名是加密的,直接在OD运行到这里查看就行,是http://www.520520520.org:9426 ; 4.3、sub_405B6E 这里是在c:\Windows\system32下创建随机病毒文件;接下来是一些服务操作,结尾是sub_40355B函数,我们直接跟进去: 可以看到是一个删除自身的一个操作。 五、hra33.dll分析看完病毒体,我们再看一下关键dll–>hra33.dll,直接在c:\windows\system32下找到hra33.dll,拖入IDA中分析,直接在主函数处F5: 简单的查找病毒资源是否存在; 5.2、sub_10001338判断当前模块名字是否为hrlxx.tmp; 5.3、sub_10001193这里就是找到资源,定位资源位置,在临时文件目录中创建hrl,然后把资源内容拷贝进去。 5.4、sub_100012F6加载lpk.dll 5.5、sub_100019E6这里是判断磁盘类型,然后创建一个线程,我们跟进去回调函数: 可以看到是判断文件是否是exe,是的话创建lok.dll;如果是rar或者zip等压缩文件,则进去sub_1000142B: 解压文件,然后替换lpk.dll,随后重新打包,删除临时文件; 5.6、sub_100010CE这里是保存了lpk的导出函数地址。 六、病毒总体思路总结首先开始运行,判断是否有病毒的注册表:是:注册函数设置服务请求–设置启动服务–找到dll,释放–把病毒和服务加到hra33.dll,然后加载此dll–线程1(家里IPC链接,局域网内传播,定时启动)—后面三个线程链接服务器下载东西,根据指令进行不同操作;否:启动病毒服务–设置键值–删除原病毒 |
CopyRight 2018-2019 实验室设备网 版权所有 |