安基网 首页 安全 取证分析 查看内容

3601劫持病毒分析

2020-10-12 12:41| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 样本信息病毒名称:3601劫持病毒所属家族:Trojan-DDoS.Win32.Macri.atk病毒行为:连接恶意网址下载代码远程执行、对lpk.dll进行劫持分析目标:分析病毒具体的行为,搞清楚病毒的实现原理,给出合理的方式查杀病毒。大小: 24576 byte修改时间: 2007年1月22日, 16:48:04MD5: b5752252b34a8af470db1830cc ...

样本信息

病毒名称:3601劫持病毒
所属家族:Trojan-DDoS.Win32.Macri.atk
病毒行为:连接恶意网址下载代码远程执行、对lpk.dll进行劫持
分析目标:分析病毒具体的行为,搞清楚病毒的实现原理,给出合理的方式查杀病毒。
大小: 24576 byte
修改时间: 2007年1月22日, 16:48:04
MD5: b5752252b34a8af470db1830cc48504d
SHA1: aec38add0aac1bc59bfaaf1e43dbdab10e13db18
CRC32: 4EDB317F
壳类型:UPX壳
编写语言:VC6
病毒行为:连接恶意网址下载代码远程执行、对lpk.dll进行劫持

病毒的主要恶意行为

先利用云沙箱获取基本运行情况,如下图所示。


行为分析

使用火绒剑对病毒的行为进行分析,可以归为以下四类:对文件的操作、对注册表的操作、对进程的操作、对网络的操作。
对文件的操作
① 创建fadbwg.exe文件(之后经过分析此文件名是随机的六个字母),并写入数据:


② 删除原始的病毒文件:


③ 创建hra33.dll文件和临时文件,并写入数据:


④ 在多个文件夹中创建lpk.dll并写入数据:


对注册表的操作
在注册表中创建Ghijkl Nopqrstu Wxy项,并对注册表有删除操作:


对进程的操作
创建了进程,经过排查发现创建的都是cmd、find、rar的进程:


对网络的操作

病毒对注册表进行了操作,并且有网络连接。


发送网络数据包,经过查看数据包流量猜测是发送了计算机的相关信息:


恶意代码分析

经查壳工具PEID检查,发现该病毒加了UPX壳。根据ESP定律进行脱壳处理。



主程序首先通过查看注册表键值来确定服务是否创建,若服务未创建则创建并启动服务;若服务已经创建,则对自己进行复制,并且修改相关服务,最后删除自己。并且病毒释放了一个hra33.dll文件。


病毒为了防止重复操作,会先检测服务是否创建。


继续跟进,发现病毒在ADVAPI32.dll中加载函数,并遍历文件。



病毒利用时间随机数来生成文件名并进行拼接,最后复制到C:Windows目录下。


继续分析,病毒创建了服务,并且修改了相关的配置,启动服务。



紧接着病毒添加了注册表键。


可以运行病毒,去查看注册表进行对比。



病毒通过字符串拼接来执行CMD命令删除自己。


此时,病毒创建了新的线程,自己已经删除,继续分析新的线程。新的程序进行了服务初始化操作。


在跟到4053a6函数中,会对注册表进行检查,并且打开了hra33.dll,复制了相关资源到hra33.dll。


对资源进行了更新操作。


通过OD可以看到具体的资源。


继续分析,发现hra33.dll被释放,这个dll具有劫持功能,将exe相同目录复制lpk.dll。



继续分析创建线程的函数。



其中第一个线程会初始化一些字符串,用于获取主机名和网络连接相关的函数,有可能是利用弱口令进行局域网传播病毒。




经过以上分析,可以判定第一个线程是通过弱口令感染局域网其他主机,当用户名和密码通过后,可以使用共享目录将病毒传播。


继续分析创建的第二个线程。



跟到回调函数中,发现有创建了一个子线程。


继续分析回调函数。


发现这个函数进行了网络连接。若连接成功,就继续运行,失败了就返回。


继续分析,发现该线程获取了一些系统信息,用来判断系统型号。


同时获取了CPU信息。


继续获取了适配器信息。


获取了内存信息。


发现函数4060f0加载了一些dll,并且尝试发送了数据。


使用接收到的数据进行判断,并作出相应的处理。


信息为0x10时,从网络上下载恶意代码保存到临时文件,并执行。


信息为0x12,根据时间随机生成数拼接文件名,并初始化信息。


通过网页下载新的病毒,下载成功删掉原来的所有信息。


自身会被删除。


当信息为0x14时,会打开IE浏览器。


当信息为0x6时,则执行的操作与0x12一样。


当信息为其他情况时,基本上都是进行了初始化Socket操作。


接下来对线程三进行分析,跟进子线程回调函数。


继续分析回调函数。


继续跟进子线程回调函数。


发现函数与线程基本一样,但是连接的的域名改变了。


用IDA Pro加载hra33.dll,对它进行分析。


发现10019e6添加lpk函数时,会遍历文件,如果遇到exe文件就在相同目录下拷贝lpk.dll,如果有.rar或者.zip文件,就用100142b进行感染。


等线程执行完毕后退出线程,使用10001123释放dll。

查杀方案

病毒特征:关键字符串

Ghigkl
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
1NTUHRYRExYRExYREx3c0eQJChcRFUM=

写yara 规则:


然后可以使用ClamAv进行查杀。

手工查杀

①结束相关进程树;
②删除注册表HKEY_LOCAL_MACHINEsystemCurrentControlsetservicesGhijkl Nopqrstu Wxy下注册表键;
③删除病毒exe和hra32.dll;
④遍历磁盘和压缩包,删除lpk.dll。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6882459054589870600/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部