-
-
[原创]一个lpk.dll病毒的分析报告
-
发表于:
2017-5-25 03:08
13844
-
1样本概况
病毒名称为3601.exe,运行后无窗口。采用UPX加壳,编写语言为Microsoft Visual C++ 6.0 。
1.1样本信息
病毒名称:3601.exe
所属家族:
MD5值:a5e4519f7cbb6e7efcff5474bb9179e0
SHA1值:E749452E3FDCE42A02313D9D2217405518127C2C
CRC32:1BC7519E
病毒行为:
创建指定网络连接泄露系统信息、删除自身复制自己到c:\windows目录文件名、在有exe文件的目录或者压缩包(rar、zip)下创建lpk.dll文件。
1.2测试环境及工具
环境:WIN732位SP1
工具:OD、IDA、PCHunter
2.具体行为分析
2.1主要行为
创建一个新的服务
连接3个指定的网址
sbcq.f3322.org
www.520123.xyz
www.520520520.org
在有exe文件的目录或者压缩包中释放lpk.exe
病毒运行会先进行一个注册表键值判断。首次运行病毒返回值为2,windows系统错误,找不到文件。
是判断该项目是否有值防止重复操作
判断当前运行程序是否在系统目录
如果不在系统目录 生成随机名字,并将自身赋值到C:\windows目录下
创建并启动一个名称为"Ghijkl Nopqrstu Wxy"的服务
中间设置服务略过。
打开注册表键值,设置服务描述为"Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst"
调用CMD命令 DEL 删除自己
下面看看释放到c:\windows目录下的文件又做了什么
通过查询"SYSTEM\CurrentControlSet\Services\Ghijkl Nopqrstu Wxy" 键值进行判断如果不成功,创建服务。
下面进入服务回调函数,大体行为如下
第一个线程是IPC攻击
IPC内置了一些弱口令
如果连接成功通过,想复制病毒到目标主机,然后通过AT命令执行计划任务,启动病毒
第二、三、四线程功能基本同区别是创建的sock连接地址不同。
sbcq.f3322.org
www.520123.xyz
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课