search
一個lpk.dll病毒的分析報告

一個lpk.dll病毒的分析報告

█ 1. 樣本概況

病毒名稱為3601.exe,運行后無窗口。採用UPX加殼,編寫語言為Microsoft Visual C++ 6.0 。

█ 1.1 樣本信息

病毒名稱:3601.exe

所屬家族:

MD5值:a5e4519f7cbb6e7efcff5474bb9179e0

SHA1值:E749452E3FDCE42A02313D9D2217405518127C2C

CRC32:1BC7519E

病毒行為:

創建指定網路連接泄露系統信息、刪除自身複製自己到c:\windows目錄文件名、在有exe文件的目錄或者壓縮包(rar、zip)下創建lpk.dll文件。

█ 1.2 測試環境及工具

環境:WIN732位SP1

工具:OD、IDA、PCHunter

█ 2. 具體行為分析

█ 2.1 主要行為

創建一個新的服務:

連接3個指定的網址

  • sbcq.f3322.org

在有exe文件的目錄或者壓縮包中釋放lpk.exe。

█ 2.2 惡意代碼分析

病毒運行會先進行一個註冊表鍵值判斷。首次運行病毒返回值為2,windows系統錯誤,找不到文件。

判斷該項目是否有值防止重複操作。

判斷當前運行程序是否在系統目錄。

如果不在系統目錄 生成隨機名字,並將自身賦值到C:\windows目錄下。

創建並啟動一個名稱為"Ghijkl Nopqrstu Wxy"的服務。

中間設置服務略過。

打開註冊表鍵值,設置服務描述為"Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst"。

調用CMD命令 DEL 刪除自己。

下面看看釋放到c:\windows目錄下的文件又做了什麼。

通過查詢"SYSTEM\CurrentControlSet\Services\Ghijkl Nopqrstu Wxy" 鍵值進行判斷如果不成功,創建服務。

下面進入服務回調函數,大體行為如下:

第一個線程是IPC攻擊。

IPC內置了一些弱口令。

如果連接成功通過,想複製病毒到目標主機,然後通過AT命令執行計劃任務,啟動病毒。

第二、三、四線程功能基本同區別是創建的sock連接地址不同。
  • sbcq.f3322.org

連接指定IP地址。

發送一個字元 第二個參數套接字類型,第三個參數 SO_KEEPALIVE 保持連接繼續存在。

將獲取到的系統信息發送給指定控制端,

等待控制指令

大致判斷下 幾個CASE 裡面都做了什麼。

下載指定連接的文件保存在本地,文件名稱根據GetTickCount返回值生成,文件路徑文當前文件所在路徑。

從這一些列行為可以判斷,這是更新病毒。

調用IE打開指定網址。

調用HTTP GET請求發送數據包。

下面分析hra33.dll功能:

主要邏輯如下:

判斷是否是臨時文件。

判斷是否已經運行。

載入資源創建進程。

感染EXE文件主要代碼。

感染壓縮包文件主要代碼:

█ 3. 解決方案(或總結)

該病毒應該為感染型的蠕蟲病毒,利用了一些IPC貢獻弱口令的缺陷,可以在區域網中傳播。可能下載其他病毒或者木馬程序,對用戶危害極大。

█ 3.1 提取病毒的特徵,利用殺毒軟體查殺

MD5: B5752252B34A8AF470DB1830CC48504D

SHA1: AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18

特徵字元串:sbcq.f3322.org、www.520123.xyz、Ghijkl Nopqrstu Wxy

編寫yara規則,掃描。

█ 3.2 手工查殺步驟或是工具查殺步驟或是查殺思路等

1. 結束服務:Ghijkl Nopqrstu Wxy,刪除服務對應的exe文件。

2. 刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ Ghijkl Nopqrstu Wxy下的所有鍵值。

3. 刪除C:\windows\system32\hra33.dll。

4. 刪除除開C:\WINDOWS\system32和C:WINDOWS\system\dllcache這二個目錄下的lpk.dll文件。

本文由看雪論壇 maxK 原創,轉載請註明來自看雪社區

熱門閱讀

  • 利用OD通過Call調用實現掃雷(win7旗艦版32位)

  • Safengine Shielden 2.3.8.0 脫殼 ∷之∷ 修復IAT

  • Metasploit 演練

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23269次喜歡
留言回覆
回覆
精彩推薦