3601_lpk劫持病毒分析
样本信息病毒名称:3601劫持病毒所属家族:Trojan-DDoS.Win32.Macri.atk病毒行为:连接恶意网址下载代码远程执行、对lpk.dll进行劫持分析目标:分析病毒具体的行为 , 搞清楚病毒的实现原理 , 给出合理的方式查杀病毒 。 大小: 24576 byte修改时间: 2007年1月22日, 16:48:04MD5: b5752252b34a8af470db1830cc48504dSHA1: aec38add0aac1bc59bfaaf1e43dbdab10e13db18CRC32: 4EDB317F壳类型:UPX壳编写语言:VC6病毒行为:连接恶意网址下载代码远程执行、对lpk.dll进行劫持
病毒的主要恶意行为 先利用云沙箱获取基本运行情况 , 如下图所示 。
文章插图
行为分析使用火绒剑对病毒的行为进行分析 , 可以归为以下四类:对文件的操作、对注册表的操作、对进程的操作、对网络的操作 。 对文件的操作① 创建fadbwg.exe文件(之后经过分析此文件名是随机的六个字母) , 并写入数据:
文章插图
② 删除原始的病毒文件:
文章插图
③ 创建hra33.dll文件和临时文件 , 并写入数据:
文章插图
④ 在多个文件夹中创建lpk.dll并写入数据:
文章插图
对注册表的操作在注册表中创建Ghijkl Nopqrstu Wxy项 , 并对注册表有删除操作:
文章插图
对进程的操作创建了进程 , 经过排查发现创建的都是cmd、find、rar的进程:
文章插图
对网络的操作
病毒对注册表进行了操作 , 并且有网络连接 。
文章插图
发送网络数据包 , 经过查看数据包流量猜测是发送了计算机的相关信息:
文章插图
恶意代码分析经查壳工具PEID检查 , 发现该病毒加了UPX壳 。 根据ESP定律进行脱壳处理 。
文章插图
文章插图
主程序首先通过查看注册表键值来确定服务是否创建 , 若服务未创建则创建并启动服务;若服务已经创建 , 则对自己进行复制 , 并且修改相关服务 , 最后删除自己 。 并且病毒释放了一个hra33.dll文件 。
文章插图
病毒为了防止重复操作 , 会先检测服务是否创建 。
文章插图
继续跟进 , 发现病毒在ADVAPI32.dll中加载函数 , 并遍历文件 。
文章插图
文章插图
![[环球火力点]却把世界强国得罪个遍,聪明反被聪明误!天时地利具备的北约大国](https://imgcdn.toutiaoyule.com/20200413/20200413080608700360a_t.jpeg)
