近日,安天追影小组发现了大量的鬼影DDOS家族变种,并在进行网络通信流量监控时发现,异常通信行为中占比最大的正是鬼影DDOS家族,安天追影小组随即对其进行了分析。
样本分析
1. 样本运行后会在系统目录下释放以6为随机字符为名称的PE文件,并创建该名称的进程,还会为其创建特定服务名称的服务项,以完成自身自启动的目的。
2. 创建互斥量,互斥量大多情况与服务名相同。
3.释放名称为hra33.dll或gei33.dll的文件,同时在所有系统应用程序目录下释放其复制体,名称为lpk.dll,用以劫持系统lpk.dll文件。
3.有些变种还会开启线程对局域网的主机进行弱密码猜解,猜解成功后会直接自复制到目标主机的共享目录中(admin$\C$\D$\E$\F$),然后去感染局域网其他用户。