1.样本概况
1.1 样本信息
病毒名称:3601.exe
所属家族:Trojan-DDoS.Win32.Macri.atk
MD5值:b5752252b34a8af470db1830cc48504d
MD5值:8a1716b566d20b77c20647d0f760b01c
SHA1值:aec38add0aac1bc59bfaaf1e43dbdab10e13db18
1.2 测试环境及工具
测试环境:win7
工具:火绒剑,PCHunter,IDA Pro,OD,x32dbg,010Editor,PEID
2.具体行为分析
2.1 主要行为
行为流程图
运行程序后会创建系统服务及增加注册表的键值,根据时间生成随机名的文件并释放到C:/Windows路径下,给新生成的程序(下文都以isykmk.exe代替)添加服务的自启动项,结束3601.exe并删除。
运行icykmk.exe,会加载hra33.dll以及创建四个线程。加载hra33.dll先递归遍历文件,判断是否存在.exe如果存在就继续递归寻找下一个,如果不存在就在同路径下创建lpk.dll,再继而判断是否存在.rar或者.zip,如果存在就继续递归寻找下一个,如果不存在就往压缩包添加lpk.dll。
线程一,主要是通过弱口令感染局域网内的共享文件夹,将病毒释放到共享文件夹中。
线程二,连接到控制端sbcq.f3322,获取当前电脑信息(CPU,系统版本,上线时间等)给病毒作者,然后就循环等待病毒作者的指令接收,判断info的类型,做出相应的操作。
线程三,连接控制端www.520123。具体功能同线程二。
线程四,连接控制端www.520520520。具体功能同线程二。
首先用Exeinfo PE查看,是加了UPX壳的。通过ESP定律很容易就能脱下壳,就不进行演示了。
动作行为分析
文件监控
利用火绒剑进行监控,病毒会释放PE文件并自我复制,并在很多文件目录下释放lpk文件。
网络监控
会尝试进行网络连接,发送数据包。
进程监控
会进行多次打开设备的操作。
2.2 恶意代码分析
运行3601.exe
Main函数中是网络相关的函数,判断注册表是否存在,并且母体病毒开始初始化。
进入405A52函数,它是在判断键值是否存在。
继续分析到405B6E函数中,在ADVAPI32.dll中加载函数,遍历文件。
根据时间随机生成数作为文件名进行拼接,然后拷贝到C:\Windows\目录下
创建服务,更改服务的配置,并启动服务
添加注册表键
通过字符串拼接执行cmd命令删除自身
执行程序,创建新的线程。到这程序执行结束。再去C:/Windows下去分析对应程序。
分析子程序icykmk.exe
会先判断键值是否存在,如果存在的话就开启服务,进入服务回调继续分析。
主函数
服务回调:
作为新程序的主程序,之前先做了服务初始化操作,主要分析下面的函数。
加载dll
4053a6函数中,检查注册表,打开hra33.dll,拷贝2个资源到hra33.dll。 服务名+exe
更新操作资源
资源段中的数据如下:
进入4034E5函数
释放hra33.dll,具有dll劫持功能–将exe同目录创建lpk.dll
分析三个创建线程的函数
线程一
会初始化一堆字符串,根据下面获取主机名以及网络连接的函数,猜测是利用弱口令进行局域网感染。
线程一函数是通过弱口令感染局域网其他主机, 当用户名和密码通过后,通过共享目录将病毒传播出去, 利用 at 计划任务, 直接 admin$共享。
线程二
获取当前的时间,又创建了一个线程
进入回调405128中,其中又创建了一个子线程
继续跟到入回调线程函数中
会首先执行这个函数,与sbcq.f3322.org控制端进行网络连接,如果连接成功继续往下,不然就返回。
成功继续往下执行socket相关函数
4060f0函数,获取了一些系统信息,具体如下:
判断系统版本号,NT 2000 XP 2003 Vista 2008
获取CPU信息
获取适配器信息
获取内存信息
4060f0后又加载了一些dll,向客户端发送了数据
然后又等待客户端接收数据,当接收的数据>6时才开始进行swtich…case中进行匹配。
当信息为0x10时,会从网络上下载恶意代码到临时的文件中,最后并执行它。
当信息为0x12:
打开互斥体Ghijkl Nopqrstu Wxy如果存在就释放掉并且关掉句柄。根据时间随机生成数拼接成文件名,初始化一些信息,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。
从网页下载新的病毒,如果下载成功就删除原来的服务,注册表键值以及原来的程序
其中40355B:
删除原来的程序
当信息0x14:
打开IE浏览器并弹框。
当信息<6
信息6:
和0x12执行一致,打开互斥体Ghijkl Nopqrstu Wxy如果存在就释放掉并且关掉句柄。根据时间随机生成数拼接成文件名,初始化一些信息,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。
信息2:
会根据一些判断进行初始化socket
信息3:
进入403280函数,里面仍然会做一些判断,继续分析各个函数,会发现这是一个发包的函数。
模仿浏览器的GET数据请求头,以Mozilla进行访问
GET请求数据包。
信息0x4:
仍旧是初始化socket。
至此线程二分析结束,它获取系统版本号,内存信息,cpu信息以及从电脑的上线时间发送给控制端,和通过消息类型执行不同的操作,大概猜测这是发送被感染电脑的信息给病毒作者,告诉病毒作者被感染的电脑已在线,可以发送消息来操控这台电脑了。
线程三
进入子线程回调405184
继续进入子线程回调404908
发现函数与线程基本一致,只不过要连接的域名变为www.520123.xyz
至此三个线程分析完毕
线程四
继续分析下面有个死循环的函数
进入回调40387c,发现和线程一,二的操作基本一致
只是要连接的域名被base64加密。解密域名为www.520123.xyz。
加载hra33.dll
Dllmain函数中分析,获取模块名字后对hra33.dll进行加载,加载成功就在同目录下将数据写入到临时文件,并且加载lpk.dll到zip,rar文件,并且同目录下创建exe。如果没有被加载就释放dll文件。之后对lpk.dll文件进行加载。
10019e6添加lpk的函数中创建了两个线程,在线程回调中发现是正在递归遍历文件,如果遇到.exe文件就在同目录拷贝lpk.dll,如果有.rar或.zip文件,就用100142B函数进行感染。
100142B函数中是利用rar的shell命令进行操作的,先检查同路径有没有lpk.dll,如果没有,就以最大速度解压文件,将lpk.dll添加到文件夹中,然后再重新压缩文件。
阻塞等待线程执行完毕后退出线程,且使用10001123释放dll。
3.解决方案
3.1 提取病毒的特征,利用杀毒软件查杀
编写yara规则,结合clamav进行特征扫描
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1.删除HKEY_LOCAL_MACHINE\system\CurrentControlset\services\Ghijkl Nopqrstu Wxy下注册表键
2.停止Ghijkl Nopqrstu Wxy的服务,删除服务并删除服务路径下的程序
3. 删除C:\windows\system32\hra33.dll文件
4. 删除生成的lpk.dll文件
1431
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
