病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))
样本信息
文件名称:hra33.dll或lpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir
大小: 46080 bytes
修改时间: 2017年8月1日, 12:08:36
MD5: A066B5BB41892068E172E5F52B3137F4
SHA1: 658889F4B0F62B6785C1D8786B6A6B5A2268D00C
CRC32: 43256D4C
生成的文件
其中,
hra33.dll为病毒主体
lpkres.dmp为从病毒主体中dump出来的资源文件(也是PE文件)
gsioo.exe为病毒运行过程中自我复制到系统目录下的文件(文件名随机,文件与lpkres.dmp相同)
gsiqoores.dmp为gsioo.exe的资源文件(也是PE文件,代码与hra33.dll类似操作)
SOFTWARE.LOG为病毒运行过程中自我复制到Temp文件夹下的备份(文件名始终是SOFTWARE.LOG,文件与lpkres.dmp相同)
恶意行为
1.创建服务用于自启动
2.注入系统进程执行恶意代码
3.仿lpk.dll注入正常程序
4.访问恶意网站,可以下载执行恶意程序
5.联网受控,根据服务端指令进行不同的恶意行为,可以作为肉鸡进行DDOS攻击
分析记录
hra33.dll资源文件中存在两个RCData资源,资源号分别为101和102,其中101是被病毒改过的,内容为Distribukcj102是一个能被释放出来的PE文件.
在用户Temp目录下生成的SOFTWARE.LOG文件
lpkres.dmp与SPFTWARE.LOG文件对比,基本相同.只是有2个字节不同
火绒监测到病毒向内网53端口发送数据来穿透防火墙.
系统目录下生成的gsiqoo.exe文件(生成随机名称,下图还有生成rkntic.exe的)
病毒创建的服务,用于自启动
病毒运行系统进程svchost.exe,并掏空这个进程,注入病毒代码运行.
恶意代码
复制移动病毒文件到Temp目录下的代码,并重命名为SOFTWARE.LOG
病毒访问的某恶意网址
IDA载入hra22.dll发现很多Lpk的函数.LoadPE中也是导出了LPK函数,使用了LPK劫持注入技术
DLL入口函数可以看出,此DLL是仿造的系统lpk.dll,导出一样的函数,试程序先加载这个假dll然后自己释放其中包含的病毒资源,然后再去调用真正系统的lpk.dll中的函数.
把病毒资源文件dump出来,分析.
病毒经过初始化,会进入WinMain函数
启动并注入svchost.exe进程代码
读PE文件代码
服务回调的各种操作
修改注册表中ImagePath资源对应的映像文件
线程回调中的操作,获取各种信息发送数据
回调中会接受各种控制命令数据,然后实现控制操作
打开IE,使用IE访问数据
链接网址下载文件
病毒使用iexplorer.exe打开链接.另一个操作
