吾愛破解 - LCG - LSG |安卓破解|病毒分析|huihengkj.com

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 1991|回復: 10

[PC樣本分析] 3601_lpk劫持病毒分析

[復制鏈接]
樓主
Hcho 發表于 2020-9-26 09:28 回帖獎勵
使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
1. 樣本信息


病毒名稱:3601劫持病毒
所屬家族:Trojan-DDoS.Win32.Macri.atk
大小: 24576 byte
修改時間: 2007年1月22日, 16:48:04
MD5: b5752252b34a8af470db1830cc48504d
SHA1: aec38add0aac1bc59bfaaf1e43dbdab10e13db18
CRC32: 4EDB317F
殼類型:UPX殼
編寫語言:VC6
病毒行為:連接惡意網址下載代碼遠程執行、對lpk.dll進行劫持
2. 行為分析


使用火絨劍對病毒的行為進行分析,可以歸為以下四類:對文件的操作、對注冊表的操作、對進程的操作、對網絡的操作。
一、 對文件的操作
① 創建fadbwg.exe文件(之后經過分析此文件名是隨機的六個字母),并寫入數據:
            
② 刪除原始的病毒文件:

③ 創建hra33.dll文件和臨時文件,并寫入數據:

④ 在多個文件夾中創建lpk.dll并寫入數據:


二、 對注冊表的操作

在注冊表中創建Ghijkl Nopqrstu Wxy項,并對注冊表有刪除操作:

三、 對進程的操作
① 創建了進程,經過排查發現創建的都是cmd、find、rar的進程:

② 使用cmd進行跨進程寫內存的操作:

四、 對網絡的操作
① 發送網絡數據包,經過查看數據包流量猜測是發送了計算機的相關信息:

② 網絡連接行為:

3. 惡意代碼分析


3.1 分析是否有殼,如果有殼則進行脫殼
① 首先使用PEID進行分析,可以得知此病毒是UPX殼:

② 使用OD使用esp定律進行脫殼,脫殼后再使用PEID進行分析,可以得知此程序是VC6.0編寫的:



3.2 惡意程序的代碼分析片段
一、首先打開注冊表,然后判斷是否打開成功


① 打開注冊表的函數OpenRegFunc如圖2-1:

圖2-1

二、打開注冊表失敗

① 惡意函數sub_405B6E:

1. 首先獲取各種API地址,如圖2-2:

圖2-2

2. 生成隨機的六個字母,如圖2-3:


圖2-3
3, 將病毒拷貝到C:\Windows\,以剛才生成的隨機字母命名,如圖2-4:


圖2-4
4. 創建服務Ghijkl Nopqrstu Wxy,路徑為隨機字母.exe的病毒,如圖2-5:

圖2-5
5. 更改服務的可選配置參數,如圖2-6:

圖2-6
6. 使用StartService運行病毒的服務,如圖2-7:

圖2-7
7. 修改病毒的注冊表添加Description項,值為"Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst",如圖2-8:

圖2-8

② 刪除病毒自身的函數DeleteFileFunc:

1. 命令行刪除原路徑病毒如圖2-9:

圖2-9
2. 更新設置,如圖2-10:

圖2-10

③ 退出當前進程,如圖2-11:

圖2-11

三、打開注冊表成功
① 使用StartServiceCtrlDispatcher函數,啟動之前創建的病毒服務:

② 分析惡意函數sub_40561A,其行為主要包括創建惡意dll、創建4個線程。

1. 創建惡意dll:

Create_hra33dll_Func調用了EnumResourceNames函數,如圖2-12:


圖2-12
分析EnumResourceNames的回調函數,創建了hra33.dll并寫入了可執行文件,如圖2-13、圖2-14:

圖2-13

圖2-14   

2. 修改了hra33.dll的文件資源,如圖2-15,其主要步驟是先讀取病毒的注冊表,如圖2-16,然后創建病毒文件、讀取病毒文件,如圖2-17,之后向dll資源中寫入病毒文件和一個字符串,如圖2-18、圖2-19:

圖2-15

圖2-16


圖2-17

圖2-18

圖2-19   

3. 載入hra33.dll,如圖2-20、圖2-21:  


圖2-20   


圖2-21

4. 創建的第一個線程:

分析其回調函數:其中有很多常用的用戶名,如圖2-22,猜測是用于暴力破解時使用:

圖2-22   

其中主要函數的功能通過分析可以得知是通過局域網傳播病毒,如圖2-23,此函數的參數為圖2-24:

圖2-23

圖2-24
分析NetCopyFunc,首先獲取各種API地址,然后字符串操作得到 [url=]\192.168.49.1\ipc$[/url],如圖2-25,之后調用WNetAddConnection2函數,參數如圖2-26:

圖2-25

圖2-26   

如果連接成功,則拷貝病毒命名為g1fd.exe,如圖2-27,如果不成功會修改路徑繼續嘗試,如圖2-28:

圖2-27

圖2-28   

當成功拷貝病毒會執行CMD語句設置定時任務,如圖2-29:

圖2-29   

3. 創建的第二個線程:   


分析其回調函數,首先初始化套接字,然后獲取當前日期,如圖2-30,之后創建了一個新的線程如圖2-31:

圖2-30

圖2-31   

分析線程回調函數sub_405128,此函數又創建了一個新線程,如圖2-32:   


圖2-32
分析其回調函數sub_4040DA,分析得知其功能是嘗試連接主機 sbcq.f3322.org,如圖2-33:

圖2-33
之后判斷是否連接成功,如圖2-34:   


圖2-34   

如果連接成功的話,會有一個函數獲取當前計算機的相關信息如圖2-35,此函數的主要功能函數如圖2-36:

圖2-35



圖2-36   

然后會載入惡意dll,如圖2-37:

圖2-37
然后將發送獲得的計算機信息,如圖2-38、圖2-39:

圖2-38

圖2-39   

如果發送成功,先獲取UrlDownloadToFile函數地址:

之后有個switch-case結構,判斷是根據消息碼不同做出不同操作,有以下三種操作:
(1)執行下載的代碼:

(2)刪除病毒注冊表和原文件,然后執行下載的exe文件:


(3)打開IE瀏覽器執行下載的代碼:

之后有關于http數據包的函數,如圖2-40、圖2-41、圖2-42,具體有什么作用暫時看不出來:

圖2-40

圖2-41

圖2-42   

4. 創建的第三個線程:

分析其回調函數,發現做的事情和第二個線程相同,只是地址發生了變化,這次的遠程連接地址為www.520123.xyz,如圖2-43:

圖2-43   

5. 第四個線程在sub_4030FD函數中,是while(1)循環調用此函數,如圖2-44,回調函數如圖2-45:   


圖2-44   


圖2-45
經過OD分析得知回調函數的地址為:0040387C,可以發現此函數也是嘗試遠程連接,網址為[url=]www.520520520.org:9426,和之前操作基本一致,但是含類似base64[/url]的加密,如圖2-46、圖2-47:

圖2-46

圖2-47

四、分析hra33.dll

① 加載病毒資源,判斷是否加載成功,如圖2-48,加載病毒資源的函數如圖2-49:

圖2-48

圖2-49
② 如果加載成功,那么會判斷當前進程加載模塊的文件是不是 hrl.tmp,如圖2-50:

圖2-50
③ 判斷是否在互斥體中,如圖2-51:   


圖2-51

④ 創建臨時文件,寫入病毒并運行,如圖2-52~2-55:   


圖2-52   


圖2-53  


圖2-54  


圖2-55
⑤ 判斷當前是否是lpk.dll,判斷函數如圖2-56,如果不是的話創建一個事件對象,如圖2-57:   


圖2-56   


圖2-57
⑥ 惡意函數sub_100010CE:   


此函數創建線程循環遍歷文件,判斷后綴是否有.exe或.rar或.zip。如果有.exe的話判斷是否存在lpk.dll,如果不存在就把惡意的hra.dll復制過去并命名為lpk.dll,如圖2-58:

圖2-58
如果有.rar或.zip的話就獲取RAR.exe的路徑然后進行惡意操作,操作步驟為:創建臨時目錄名->查看壓縮包中是否存在lpk.dll->如果存在lpk.dll->在臨時目錄中把壓縮包解壓出來->替換lpk.dll、重新打包->刪除臨時目錄,如圖2-59:

圖2-59
⑦ 最后加載原本lpk.dll的原始函數(如果①加載病毒資源失敗將直接調到這里),以免原本調用了lpk.dll的程序無法正常運行,如圖2-60、圖2-61:

圖2-60

圖2-61
4. 手工查殺步驟


1. 注冊表刪除HKEY_LOCAL_MACHINE\system\CurrentControlset\services\Ghijkl NopqrstuWxy下注冊表鍵。
2. 刪除C:\windows\system32\hra33.dll文件。
3. 遍歷所有磁盤和壓縮包,刪除lpk.dll文件。

3-2-18.png (14.62 KB, 下載次數: 0)

3-2-18.png

3-2-55.png (40.42 KB, 下載次數: 0)

3-2-55.png

免費評分

參與人數 10威望 +2 吾愛幣 +112 熱心值 +9 收起 理由
fengbolee + 1 + 1 用心討論,共獲提升!
yixi + 1 + 1 謝謝@Thanks!
gaosld + 1 + 1 熱心回復!
Hmily + 2 + 100 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
鎮北看雪 + 2 + 1 我很贊同!
AnNimUJ + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
lht20132324 + 1 + 1 我很贊同!
17877087703 + 1 + 1 我很贊同!
FleTime + 3 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
邱淑貞 + 1 + 1 熱心回復!

查看全部評分

發帖前要善用論壇搜索500彩票邀请码功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
heike1993 發表于 2020-9-27 11:35
很完整 完了之后我還是喜歡再重裝
3#
Salvare000 發表于 2020-9-27 19:06
看了半天 還是不懂  lpk這種病毒我記得單位電腦中過,還把我U盤感染了 還好插回自己電腦win10自帶的殺毒提醒了.不明白這種病毒的目的是想干啥 以前還中過一種病毒,玩單機游戲下的修改器,當時長了個心眼 開啟前打開folder changes view 看看會不會修改系統文件  結果TM的是個感染病毒,就看著folder changes view 里面一個接一個的EXE文件被修改,我慌了  立馬關機重啟安全模式查殺 結果還是失去了很多重要文件 (所有被感染的文件應該是頭尾加上了惡意代碼,殺毒軟件查到了直接就刪掉了)
4#
 樓主| Hcho 發表于 2020-9-28 00:07 |樓主
Salvare000 發表于 2020-9-27 19:06
看了半天 還是不懂  lpk這種病毒我記得單位電腦中過,還把我U盤感染了 還好插回自己電腦win10自帶的殺毒提醒 ...

這種病毒會替換正常的lpk.dll,這樣如果你使用的程序調用了這個庫的話就會同時調用他的惡意代碼。
5#
xuanzuanmu 發表于 2020-9-28 12:48
以前用的某些軟件經常中lpk病毒,不知道從哪來的
6#
xaibin 發表于 2020-9-28 15:54
LPK這玩意真要感染了電腦重裝一個系統算了,我自己搞過腦殼疼。浪費時間
7#
1行 發表于 2020-9-28 15:55
lpk劫持,僵網的木馬,就是為了搞肉雞
8#
5omggx 發表于 2020-9-30 08:58
nod32殺這個毒很方便
9#
JFF 發表于 2020-10-18 23:55
lpk 高版本系統劫持無效吧?能不能通過在注冊表項KnownDlls中添加lpk.dll阻止病毒運行?
10#
敖律風 發表于 2020-10-19 11:24
vc6.0hhhhhhhhhhhhhhhhhhhhhhh
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|處罰記錄|聯系我們|吾愛破解 - LCG - LSG ( )

GMT+8, 2020-10-21 04:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表

500彩票邀請碼-彩經網