当前位置 : 主页 > 编程语言 > c语言 >

病毒丨3601lpk劫持病毒分析

来源:互联网 收集:自由互联 发布时间:2023-09-07
作者:黑蛋 一、病毒简介文件名称:1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb文件类型(Magic):PE32 executable (GUI) Intel 80386, for MS Windows文件大小:52.50KBSHA256:1f3e836b4677a6df2c2d34d3c

作者:黑蛋

WX20230411-184913@2x.png

一、病毒简介 文件名称: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb 文件类型(Magic): PE32 executable (GUI) Intel 80386, for MS Windows 文件大小: 52.50KB SHA256: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb SHA1: 8389fb0466449755c9c33716ef6f9c3e0f4e19c8 MD5: 304bbe0e401d84edf63b68588335ceb6 CRC32: 757BDFA1 SSDEEP: 768:QfvoyXXQkZuzQE98Fs+UwMVdPG42EmAjE/yQd07d21a1Xxu0HfqaWF6i5XcojY9U:QfvoyXgkAP2EFjtQd07k1sXPHijmU ImpHash: bdd8c968182d3c29007cb3a7a7e8fe4c

二、环境准备 系统

win7x86

三、行为分析 接下来借助火绒剑查看一下行为。 1.png

这里同样是生成了一个子病毒,我们简单进行一下过滤,文件创建写入,注册表创建,网络行为等: 2.png

可以看到,在c:\Windows下生成一个子病毒,当然也注意这里生成了一个hra33.dll: 3.png

然后通过cmd删除自身:

4.png

这就是母体干的事,接下来看看子病毒干的啥事: 5.png

首先这里是干了一些资源释放,在多个文件路径下创建lpk.dll,向下继续看的话,可以看到在很多路径下都有这个dll,他应该是遍历,在所有文件夹下面创建这个dll: 6.png

随后就是网络链接操作了:

7.png8.png

可以看到一直在进行发包收包操作,结合沙箱的分析结果:

9.png

可以看到一共访问了三个域名:sbcq.f3322.org;www.520123.xyz;www.520520520.org 总结一下就是释放dll,网络链接;

四、静态分析 拖入PEID,啥也没,应该是被脱过了: 10.png

拖入IDA中,直接在winmain函数处F5: 11.png

4.1、sub_405A52

12.png

可以看到这里是一个简单的判断服务是否启动,启动的话进入else,服务名Ghijkl Nopqrstu Wxy;

4.2、sub_40561A 接下来看回调函数sub_40561A: 13.png

这里主要是创建了4个线程,首先看sub_405394;

4.2.1、sub_405394 进去之后再走到EnumFunc函数中:

14.png

这里是定位资源,然后再当前目录下创建文件,写入资源内容;

4.2.2、sub_4053A6

15.png

主要在这里,看病毒文件是否存在,存在就拿到句柄,把服务加入资源文件中。

4.2.3、sub_4034E5 16.png

这是一个简单的加载hra33.dll的函数;

4.2.4、sub_402DD5 17.png

首先可以看到这里,一些用户名和密码,这里应该是用来暴力测试; 18.png

这里不断地是获取主机名,再获取hostent结构,然后枚举用户名密码进入sub_402AD0,

19.png

这里就是建立连接,通过局域网传播病毒。

4.2.5、sub_4051E0、sub_405241、sub_40387C 这三个回调函数一样,在不同服务器上下载东西,执行,我们只看第一个,一直跟进回调函数到StartAddress:

20.png24.png22.png23.png21.png

可以看到这里都是一些在服务器中下载东西,然后跑起来,最后删除自己,其他俩个函数和这个函数一样,无非就是服务器地址不同,最后一个函数里面服务器域名是加密的,直接在OD运行到这里查看就行,是www.520520520.org:9426 ;

4.3、sub_405B6E

25.png

这里是在c:\Windows\system32下创建随机病毒文件;接下来是一些服务操作,结尾是sub_40355B函数,我们直接跟进去:

26.png

可以看到是一个删除自身的一个操作。

五、hra33.dll分析 看完病毒体,我们再看一下关键dll–>hra33.dll,直接在c:\windows\system32下找到hra33.dll,拖入IDA中分析,直接在主函数处F5:

27.png

5.1、sub_10001134 28.png

简单的查找病毒资源是否存在;

5.2、sub_10001338

29.png

判断当前模块名字是否为hrlxx.tmp;

5.3、sub_10001193 30.png

这里就是找到资源,定位资源位置,在临时文件目录中创建hrl,然后把资源内容拷贝进去。

5.4、sub_100012F6

31.png

加载lpk.dll

5.5、sub_100019E6

32.png

这里是判断磁盘类型,然后创建一个线程,我们跟进去回调函数:

33.png

可以看到是判断文件是否是exe,是的话创建lok.dll;如果是rar或者zip等压缩文件,则进去sub_1000142B:

34.png

解压文件,然后替换lpk.dll,随后重新打包,删除临时文件;

5.6、sub_100010CE 35.png

这里是保存了lpk的导出函数地址。

六、病毒总体思路总结 首先开始运行,判断是否有病毒的注册表: 是:注册函数设置服务请求–设置启动服务–找到dll,释放–把病毒和服务加到hra33.dll,然后加载此dll– 线程1(家里IPC链接,局域网内传播,定时启动)—后面三个线程链接服务器下载东西,根据指令进行不同操作; 否:启动病毒服务–设置键值–删除原病毒

上一篇:有序表的合并——用链表实现
下一篇:没有了
网友评论