样本名称:LPK劫持病毒。
样本家族:无
样本类型:蠕虫。
MD5:a5e4519f7cbb6e7efcff5474bb9179e0。
SHA1:E749452E3FDCE42A02313D9D2217405518127C2C。
文件类型:PE EXE。
文件大小:6967008 bytes。
传播途径:ipc弱口令攻击。
专杀信息:暂无
影响系统:windows10以下的版本。
样本来源:互联网
发现时间:2017.09.22
C2服务器: sbcq.f3322.org、www.520123.xyz、www.520520520.org
这是一个主要利用全盘的DLL劫持,并且具有很强的传播性和迷惑性。被控机器成为肉鸡,组建僵尸网络。
被感染的机器会成为肉鸡,并可被操控者利用僵尸网络进行DDOS攻击,且病毒大量传播到每一个文件夹内,并伪装成合法服务,及注入Svchost进程,大大增加了查杀的难度。
1.结束服务:Ghijkl Nopqrstu Wxy,删除服务对应的exe文件。
2.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ Ghijkl Nopqrstu Wxy下面的所有键值。
3.删除C:\windows\system32\hra33.dll
4.删除除C:\WINDOWS\system32和C:WINDOWS\system\dllcache这二个目录下的所有路径中的lpk.dll文件
1). 保持良好的上网习惯,使用合法正常途径下载的软件。
2). 不使用弱口令作为密码。
3). 安装杀毒软件定期杀毒。
4). 定期安装最新的补丁。
文件行为
1). 在每一个具有exe、rar、zip后缀文件的文件夹中释放lpk.dll的隐藏文件。
2). 在C:\windows\system32释放hra*.dll
3). 在用户的临时文件夹下创建随机名hrl*.tmp文件。
进程行为
1). 在复制lpk.dll到全盘时进程中会有大量的cmd.exe和rar.exe进程。
2). 进程中有lpk.dll进程。
3). 注入Svchost.exe,可在svchost.exe的模块中看到病毒。
4). 可以看到与服务 Ghijkl Nopqrstu Wxy相关的exe进程。
5). 创建hrl*tmp的进程。
注册表行为
创建注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalkdu及相关子项
创建注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_NATIONALKDU及相关子项
网络行为
1). 访问远程C&C服务器:
sbcq.f3322.org
www.520123.xyz
www.520520520.org
近期获取到一个样本,样本比较特殊的是,属于感染型,会进行全盘的dll劫持,比较少见,下面进行详细分析。
1、病毒运行会先进行一个注册表键值判断,来防止重复操作
2、如果注册表存在,则启动名为Ghijkl Nopqrstu Wxy的服务,注册表不存在,则进入函数sub_405B6E进行相关操作
3、有于本机第一次运行,所以进入sub_405B6E,首先获取很多的函数地址,然后判断是否在系统目录,如果不在系统目录,则生成随机名字,将自身拷贝到C:\windows目录下
4、创建并启动一个名为“Ghijkl Nopqrstu Wxy”的服务
5、打开注册表键值,设置服务描述为"Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst"
6、继续获取相关函数地址后,从环境变量里获取cmd,调用cmd删除自身,并又运行了释放到C:\windows目录下的文件
7、由于第一次已经操作过注册表,重新运行程序则会进入开启服务的分支
8、进入服务的回调函数,他仍然是先打开注册表判断键是否存在Ghijkl Nopqrstu Wxy,不存在则创建服务。然后调用sub_405394函数释放hra*.dll到C:\windows\system32目录下
9、函数sub_4034E5加载运行hra*.dll,稍后详细分析hra.dll
10、下边分析创建的第一个线程,ipc弱口令攻击,可以看到线程回调函数内部存在大量的弱口令
11、攻击成功后,判断是否是administrator,并植入病毒文件,并运行
12、继续第二个线程,为远控外连程序,连接指定IP后会发送系统信息,网卡及CPU信息等。
13、下边是循环等待接收远控指令
14、经分析,开启的线程二、三、四功能一致,存在细微差别是访问的远控地址不同。大致分析了下远控的选项,有下载指定的文件,更新病毒,用IE打开指定的网址。
更新病毒
调用IE打开指定网址
15、下面详细分析释放的hra*.dll文件,此文件才是病毒传播的主体模块
病毒dll加载后首先会通过函数sub_10001134加载资源获取Distribuijq字符串
16、 然后进入sub_10001338函数搜索loaddll.exe的文件,没找到则认为目录不是在system32下,则退出该函数。
17、 之后进入sub_100012BD函数创建互斥体,名字就是从资源里获取的Distribuijq
18、之后进入函数sub_10001193继续加载资源,这次读取的是一个PE文件
19、 读取到资源后会在系统临时目录下创建一个前缀名为"hrl"+*的文件名,因为GetTempFileameW()函数中的Unique参数(追加到前缀字串后面的数字)设置的是0x0所以这个函数会用一个随机数字生成文件。随后,它会检查是否存在同名的文件。如果存在,函数会增加这个数字,并继续尝试,直到生成一个独一无二的名字为止
20、之后创建新的进程,运行之前生成的文件
21、继续往下分析,发现获取完磁盘信息后,病毒开始遍历计算机中的文件夹,查找.exe、.zip、.rar格式的文件,如果找到.exe的文件,则复制自身到相关路径下
22、查找.zip和rar的文件,进行解压,写入病毒文件后从新进行压缩
23、下边分析释放的.tmp文件,病毒是个MFC程序,找到病毒主体代码sub_4028D0,
首先判断注册表项:"SYSTEM\\CurrentControlSet\\Services\\Nationaluhm”是否存在,如果存在注册表项,则先将自己拷贝一份命名为”******.exe”,复制到”C:\Windows\System32\”目录下,然后创建一个名称为”Nationaluhm”的服务,将该服务的可执行文件指向刚刚复制的”C:\Windwos\System32\******.exe”,启动该服务
24、将” SYSTEM\\CurrentControlSet\\Services\\Nationaluhm\\”下Description的键值设置为” Nationallwk Instruments Domain Service”
25、如果注册表项不存在,将进程注入到Svhost.exe中
之后运行起来,又是执行之前分析的远控操作了。不再具体分析,至此病毒已经分析完毕。
该病毒具有很强的传染性,而且采用全盘dll劫持的方式实现持久驻留。主要功能是远控并组建僵尸网络用以进行DDOS网络攻击。具有很强的危害性。
Hash
FAD5CDE82609751365344B14C777C1BF975E410F 55E328477AFC3005E24222456EE874A5E43955F9
625F5DC41C0C26B18A426DC79F532D300AE97A1B
AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18
C&C
sbcq.f3322.org、
www.520123.xyz、
www.520520520.org
| 留言与评论(共有 0 条评论) |
