文章目录
iosguk.exe
样本信息
病毒名称:aa8834270d1370990cd6c640b1736809.exe
MD5: AA8834270D1370990CD6C640B1736809
SHA1: 6CD4EAC430DDCDC48518BC732E7E854D05E4B345
CRC32: 6582AE94
病毒行为:创建服务,将自身拷贝到c:\windows目录下,删除自身,通过网络连接来更新病毒并发送系统信息和数据包,通过感染共享文件夹感染局域网。加载 hra33.dll,释放自己的 lpk.dll。判断是DLL劫持。
PEID 分析
发现是UPX壳,脱掉之后再分析。
脱掉之后发现是 VC 6.0 的程序。
通过恶意代码的导入表分析,发现有与服务、网络连接相关的函数。
火绒剑分析
执行监控
在 C:\Windows 目录下释放并运行iosguk.exe 文件,使用 cmd 命令删除自身的恶意代码。
文件监控
可以看到恶意代码在 C:\Windows\System32\ 目录下创建了 hra33.dll 并且在很多目录下都创建了 lpk.dll 的文件。
服务监控
发现创建了一个名称为 2 的服务。