病毒分析之洪水攻擊木馬分析(hra33.dll(LPK.DLL))
樣本信息
文件名稱:hra33.dll或lpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir
大小: 46080 bytes
修改時間: 2017年8月1日, 12:08:36
MD5: A066B5BB41892068E172E5F52B3137F4
SHA1: 658889F4B0F62B6785C1D8786B6A6B5A2268D00C
CRC32: 43256D4C
生成的文件
其中,
hra33.dll爲病毒主體
lpkres.dmp爲從病毒主體中dump出來的資源文件(也是PE文件)
gsioo.exe爲病毒運行過程中自我複製到系統目錄下的文件(文件名隨機,文件與lpkres.dmp相同)
gsiqoores.dmp爲gsioo.exe的資源文件(也是PE文件,代碼與hra33.dll類似操作)
SOFTWARE.LOG爲病毒運行過程中自我複製到Temp文件夾下的備份(文件名始終是SOFTWARE.LOG,文件與lpkres.dmp相同)
惡意行爲
1.創建服務用於自啓動
2.注入系統進程執行惡意代碼
3.仿lpk.dll注入正常程序
4.訪問惡意網站,可以下載執行惡意程序
5.聯網受控,根據服務端指令進行不同的惡意行爲,可以作爲肉雞進行DDOS攻擊
分析記錄
hra33.dll資源文件中存在兩個RCData資源,資源號分別爲101和102,其中101是被病毒改過的,內容爲Distribukcj102是一個能被釋放出來的PE文件.
在用戶Temp目錄下生成的SOFTWARE.LOG文件
lpkres.dmp與SPFTWARE.LOG文件對比,基本相同.只是有2個字節不同
火絨監測到病毒向內網53端口發送數據來穿透防火牆.
系統目錄下生成的gsiqoo.exe文件(生成隨機名稱,下圖還有生成rkntic.exe的)
病毒創建的服務,用於自啓動
病毒運行系統進程svchost.exe,並掏空這個進程,注入病毒代碼運行.
惡意代碼
複製移動病毒文件到Temp目錄下的代碼,並重命名爲SOFTWARE.LOG
病毒訪問的某惡意網址
IDA載入hra22.dll發現很多Lpk的函數.LoadPE中也是導出了LPK函數,使用了LPK劫持注入技術
DLL入口函數可以看出,此DLL是仿造的系統lpk.dll,導出一樣的函數,試程序先加載這個假dll然後自己釋放其中包含的病毒資源,然後再去調用真正系統的lpk.dll中的函數.
把病毒資源文件dump出來,分析.
病毒經過初始化,會進入WinMain函數
啓動並注入svchost.exe進程代碼
讀PE文件代碼
服務回調的各種操作
修改註冊表中ImagePath資源對應的映像文件
線程回調中的操作,獲取各種信息發送數據
回調中會接受各種控制命令數據,然後實現控制操作
打開IE,使用IE訪問數據
鏈接網址下載文件
病毒使用iexplorer.exe打開鏈接.另一個操作
