<返回更多

3601_lpk劫持病毒分析

2020-10-12    
加入收藏

样本信息

病毒名称:3601劫持病毒
所属家族:Trojan-DDoS.Win32.macri.atk
病毒行为:连接恶意网址下载代码远程执行、对lpk.dll进行劫持
分析目标:分析病毒具体的行为,搞清楚病毒的实现原理,给出合理的方式查杀病毒。
大小: 24576 byte
修改时间: 2007年1月22日, 16:48:04
MD5: b5752252b34a8af470db1830cc48504d
SHA1: aec38add0aac1bc59bfaaf1e43dbdab10e13db18
CRC32: 4EDB317F
壳类型:UPX壳
编写语言:VC6
病毒行为:连接恶意网址下载代码远程执行、对lpk.dll进行劫持

病毒的主要恶意行为

先利用云沙箱获取基本运行情况,如下图所示。

3601_lpk劫持病毒分析

 

 行为分析

使用火绒剑对病毒的行为进行分析,可以归为以下四类:对文件的操作、对注册表的操作、对进程的操作、对网络的操作。
对文件的操作
① 创建fadbwg.exe文件(之后经过分析此文件名是随机的六个字母),并写入数据:

3601_lpk劫持病毒分析

 

② 删除原始的病毒文件:

3601_lpk劫持病毒分析

 

③ 创建hra33.dll文件和临时文件,并写入数据:

3601_lpk劫持病毒分析

 

④ 在多个文件夹中创建lpk.dll并写入数据:

3601_lpk劫持病毒分析

 

对注册表的操作
在注册表中创建Ghijkl Nopqrstu Wxy项,并对注册表有删除操作:

3601_lpk劫持病毒分析

 

对进程的操作
创建了进程,经过排查发现创建的都是cmd、find、rar的进程:

3601_lpk劫持病毒分析

 

对网络的操作

病毒对注册表进行了操作,并且有网络连接。

3601_lpk劫持病毒分析

 


发送网络数据包,经过查看数据包流量猜测是发送了计算机的相关信息:

3601_lpk劫持病毒分析

 

恶意代码分析

经查壳工具PEID检查,发现该病毒加了UPX壳。根据ESP定律进行脱壳处理。

3601_lpk劫持病毒分析

 


3601_lpk劫持病毒分析

 

主程序首先通过查看注册表键值来确定服务是否创建,若服务未创建则创建并启动服务;若服务已经创建,则对自己进行复制,并且修改相关服务,最后删除自己。并且病毒释放了一个hra33.dll文件。

3601_lpk劫持病毒分析

 

病毒为了防止重复操作,会先检测服务是否创建。

3601_lpk劫持病毒分析

 

继续跟进,发现病毒在ADVAPI32.dll中加载函数,并遍历文件。

3601_lpk劫持病毒分析

 


3601_lpk劫持病毒分析

 

病毒利用时间随机数来生成文件名并进行拼接,最后复制到C:windows目录下。

3601_lpk劫持病毒分析

 

继续分析,病毒创建了服务,并且修改了相关的配置,启动服务。

3601_lpk劫持病毒分析

 


3601_lpk劫持病毒分析

 

紧接着病毒添加了注册表键。

3601_lpk劫持病毒分析

 

可以运行病毒,去查看注册表进行对比。

3601_lpk劫持病毒分析

 


3601_lpk劫持病毒分析

 

病毒通过字符串拼接来执行CMD命令删除自己。

3601_lpk劫持病毒分析

 

此时,病毒创建了新的线程,自己已经删除,继续分析新的线程。新的程序进行了服务初始化操作。

3601_lpk劫持病毒分析

 

在跟到4053a6函数中,会对注册表进行检查,并且打开了hra33.dll,复制了相关资源到hra33.dll。

3601_lpk劫持病毒分析

 

对资源进行了更新操作。

3601_lpk劫持病毒分析

 

通过OD可以看到具体的资源。

3601_lpk劫持病毒分析

 

继续分析,发现hra33.dll被释放,这个dll具有劫持功能,将exe相同目录复制lpk.dll。

3601_lpk劫持病毒分析

 


3601_lpk劫持病毒分析

 

继续分析创建线程的函数。

3601_lpk劫持病毒分析

 


3601_lpk劫持病毒分析

 

其中第一个线程会初始化一些字符串,用于获取主机名和网络连接相关的函数,有可能是利用弱口令进行局域网传播病毒。

3601_lpk劫持病毒分析

 


3601_lpk劫持病毒分析

 


3601_lpk劫持病毒分析

 

经过以上分析,可以判定第一个线程是通过弱口令感染局域网其他主机,当用户名和密码通过后,可以使用共享目录将病毒传播。

3601_lpk劫持病毒分析

 

继续分析创建的第二个线程。

3601_lpk劫持病毒分析

 


3601_lpk劫持病毒分析

 

跟到回调函数中,发现有创建了一个子线程。

3601_lpk劫持病毒分析

 

继续分析回调函数。

3601_lpk劫持病毒分析

 

发现这个函数进行了网络连接。若连接成功,就继续运行,失败了就返回。

3601_lpk劫持病毒分析

 

继续分析,发现该线程获取了一些系统信息,用来判断系统型号。

3601_lpk劫持病毒分析

 

​ 同时获取了CPU信息。

3601_lpk劫持病毒分析

 

​继续获取了适配器信息。

3601_lpk劫持病毒分析

 

获取了内存信息。

3601_lpk劫持病毒分析

 

发现函数4060f0加载了一些dll,并且尝试发送了数据。

3601_lpk劫持病毒分析

 

​使用接收到的数据进行判断,并作出相应的处理。

3601_lpk劫持病毒分析

 

信息为0x10时,从网络上下载恶意代码保存到临时文件,并执行。

3601_lpk劫持病毒分析

 

信息为0x12,根据时间随机生成数拼接文件名,并初始化信息。

3601_lpk劫持病毒分析

 

通过网页下载新的病毒,下载成功删掉原来的所有信息。

3601_lpk劫持病毒分析

 

自身会被删除。

3601_lpk劫持病毒分析

 

当信息为0x14时,会打开IE浏览器。

3601_lpk劫持病毒分析

 

当信息为0x6时,则执行的操作与0x12一样。

3601_lpk劫持病毒分析

 

当信息为其他情况时,基本上都是进行了初始化Socket操作。

3601_lpk劫持病毒分析

 

接下来对线程三进行分析,跟进子线程回调函数。

3601_lpk劫持病毒分析

 

继续分析回调函数。

3601_lpk劫持病毒分析

 

继续跟进子线程回调函数。

3601_lpk劫持病毒分析

 

发现函数与线程基本一样,但是连接的的域名改变了。

3601_lpk劫持病毒分析

 

用IDA Pro加载hra33.dll,对它进行分析。

3601_lpk劫持病毒分析

 

发现10019e6添加lpk函数时,会遍历文件,如果遇到exe文件就在相同目录下拷贝lpk.dll,如果有.rar或者.zip文件,就用100142b进行感染。

3601_lpk劫持病毒分析

 

​ 等线程执行完毕后退出线程,使用10001123释放dll。

查杀方案

病毒特征:关键字符串

Ghigkl
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
1NTUHRYRExYRExYREx3c0eQJChcRFUM=

写yara 规则:

3601_lpk劫持病毒分析

 

然后可以使用ClamAv进行查杀。

手工查杀

①结束相关进程树;
②删除注册表HKEY_LOCAL_MACHINEsystemCurrentControlsetservicesGhijkl Nopqrstu Wxy下注册表键;
③删除病毒exe和hra32.dll;
④遍历磁盘和压缩包,删除lpk.dll。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>