一份通过IPC$和lpk.dll感染方式的病毒分析报告

最新推荐文章于 2024-04-25 10:24:00 发布
最新推荐文章于 2024-04-25 10:24:00 发布
阅读量196 收藏 1
点赞数 1
文章标签: 操作系统
原文链接:http://www.cnblogs.com/17bdw/p/6879950.html
版权

样本来自52pojie论坛,从事过两年渗透开始学病毒分析后看到IPC$真是再熟悉不过。

1.样本概况

1.1 样本信息

病毒名称:3601.exe

MD5值:96043b8dcc7a977b16a2892c4b38d87f

病毒行为: 自删除,感染压缩包(zip、rar)、释放lpk.dll文件

1.2 测试环境及工具

操作系统:win7 32位

操作工具:火绒剑、OD、IDA、MD5工具

1.3 分析目标

分析此病毒的恶意行为和生成相关文件。

2.具体行为分析

2.1 主要行为

病毒首先使用RegOpenKeyExW函数读取注册表中【HKEY_LOCAL_MACHINE\system\CurrentControlset\services\Ghijkl Nopqrstu Wxy】
这个键项;如果键项不存在,则创建病毒的系统服务,流程图大体如下:

549050-20170519190800150-418339724.png

有【Ghijkl Nopqrstu Wxy】这个键项的时候,病毒的行为流程图如下:

549050-20170519190833025-1710696467.png

如果键项存在则进入一个创建服务的函数,做了以下4个步骤:

1、检查互斥体,防止多开;

2、释放、加载资源文件C:\windows\system32\hra33.dll;

3、开启四个线程(IPC$破解、收集主机操作系统与网络信息、CPU字符串和主频率描述)

其中线程A是用于IPC$密码破解,感染同局域网内其他主机。

线程B、线程C、线程D功能一致,连接的域名不一样。

感染模块基本流程

549050-20170519190952432-1318117753.png

2.1.1 恶意程序对用户造成的危害(图)

在rar、zip、exe中释放一个lpk.dll的文件,运行exe后加载病毒程序

549050-20170519191033353-808041388.png

图1感染压缩包

549050-20170519191115525-1431714641.png

图2 有exe的目录下释放lpk.dll

2.1.2 恶意程序在系统中生成的文件

(1)权限相关()

1.创建服务

549050-20170519191208619-759155242.png

图3 创建的服务名

2.生成文件

549050-20170519191255916-874528968.png

图4 生成的病毒exe

549050-20170519191319213-1909397064.png

图5 生成的病毒DLL

3.创建注册表

549050-20170519191358010-1901176438.png

图6 注册表所增加的注册表键值

(2)服务/广播

连接域名
1 sbcq.f3322.org
2 www.520123.xyz
3 (加密)www.520520520.org:9426

2.2 恶意代码分析

2.2.1 加固后的恶意代码树结构图

1.使用PEID检查出病毒程序采用upx壳压缩

549050-20170519192136900-31899581.png

图7 PEID查壳为upx

2.连接域名使用base64加密

549050-20170519192213869-1469834370.png

图8 连接域名为base64加密

2.2.2 恶意程序的代码分析片段

病毒首先使用RegOpenKeyExW函数读取注册表中有没有【HKEY_LOCAL_MACHINE\system\CurrentControlset\services\ Ghijkl Nopqrstu Wxy】这个键项;

549050-20170519192259994-1353521308.png

图9 判断键项-OD反汇编代码注释

如果没有这个键项的时候则进入一个创建服务的函数,做了以下4个步骤:

1、复制自身到C:\windows;

2、将【C:\windows\随机文件名.exe】注册服务;

3、创建注册表键项;

4、删除自身处理;

获取当前exe运行路径随机生成一个随机文件名,复制自身到C:\windows目录下,如:"C:\Windows\jkfukc.exe",代码片段如下:

549050-20170519192345728-1060091120.png

图10 IDA-复制自身到C:\windows

549050-20170519192413400-629678275.png

图11 OD反汇编-堆栈窗口-随机生成文件名

将生成的文件作为系统服务对象创建,系统服务名为【Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst】,代码片段如下:

549050-20170519192448744-2049510690.png

图12 IDA伪C代码-创建系统服务

检查病毒是否已经在机器上运行过,创建注册表键项:【HKEY_LOCAL_MACHINE\system\CurrentControlset\services\Ghijkl Nopqrstu Wxy】

549050-20170519192524744-92927619.png

图13 IDA伪C代码-创建注册表键项

病毒运行后会做删除自身的处理,首先获取当前进程路径、文件短路径、CMD.exe路径。用shellexecute()函数删除自身。然后设置进程的执行级别使自身有足够的时间从内存中退出。

549050-20170519192620525-541565875.png

图14 IDA伪C代码-删除自身

如果键项存在则进入一个创建服务的函数,做了以下步骤:

1、检查互斥体,防止多开;

2、释放、加载资源文件C:\windows\system32\hra33.dll;

3、开启三个线程(IPC$破解、收集主机操作系统与网络信息、CPU字符串和主频率描述)

检查互斥体Ghijkl Nopqrstu Wxy是否存在,如果已经存在时退出程序;183对应着宏定义ERROR_ALREADY_EXISTX。然后释放自定义资源,将自定义资源命名为hra33.dll。

549050-20170519192836260-581550917.png

图15 检查互斥体与释放自定义资源

释放自定义资源文件hra33.dll 到C:\windows\system32\hra33.dll,改写文件的PE头,让其成为PE文件。代码片段如下:

549050-20170519192917541-1518698947.png

图16 释放自定义资源,改写PE头为MZ

创建了四个线程,分别命名为线程A、线程B、线程C、线程D。代码片段如下:

549050-20170519192952416-1701611064.png

图17 创建四个线程

线程A通过IPC$共享用内置的弱口令字典破解感染同局域网内其他主机。将自身复制到其他主机的共享后,使用at(定制计划任务)的方式执行。

549050-20170519193039885-1901057958.png

图18 IPC$破解

线程B、线程C、线程D功能大体一致,连接的域名不一样。获取操作系统版本号、 CPU字符串和主频描述、内存、网络流量信息创建套接字发送给控制端,然后等待接收控制端发过来的指令,执行相关的操作。

主要功能

1)连接域名

2)获取操作系统版本号、 CPU字符串和主频描述

3)实现功能-(下载文件、更新服务端、打开网页)

线程B 进入回调函数后,首先进入连接域名函数,创建网络套接字后所连接的域名为:sbcq.f3322.org,代码片段如下:

549050-20170519194252838-1789758475.png

图19 IDA伪c代码-创建网络套接字连接sbcq.f3322.org

当连接域名成功,代码向下执行会调用搜集操作系统信息的函数,加载hra33.dll。

549050-20170519194408400-143580217.png

图20 OD反汇编代码-调用搜集操作系统信息函数

使用GetVersionExA()函数获取操作系统版本号、 CPU字符串和主频描述的代码片段如下:

549050-20170519194441807-1793359363.png

图21 IDA伪C代码-获取操作系统版本号

549050-20170519194509572-172816999.png

图22 IDA伪C代码-获取CPU字符串和主频描述

利用Send()函数发送消息通知控制端已经加载hra33.dll成功,代码片段如下:

549050-20170519194544228-117677647.png

图23 IDA伪C代码-加载hra33.dll后发送0XB0给控制端

根据控制端传送过来的命令执行相关的操作。定义了URLDownloadToFileA()、winexec()函数,会下载指定url的文件保存到本地中,初步推断是为了实现下载自定义文件的功能。代码片段如下:

549050-20170519194712682-93868327.png

图24 定义UrlDownloadToFileA函数

当接收的参数大于6个字节时,接收到的值等于0x10,从接收到的URL地址处下载文件保存到本地的临时目录,文件名由GetTickCount()函数随机生成,代码片段如下:

549050-20170519194820978-1536056150.png

图25 接收命令后下载文件

接收到的值等于0x12时候,创建互斥体【Ghijkl Nopqrstu Wxy】,随机生成文件名。把控制端发送过来的url地址下载保持成本地文件,关闭病毒创建的名称为【Ghijkl Nopqrstu Wxy】服务,删除注册表【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Ghijkl Nopqrstu Wxy 】键项,删除病毒进程的文件自身。将新的文件重新注册成为系统服务。初步判断这是一个更新自身服务端的功能。代码片段如下:

549050-20170519194853697-1261154624.png

图26 下载新的病毒文件

549050-20170519194936416-1127324940.png

图 27 删除原有的服务和注册表

接收到0x14的命令时调用ShellExecute函数将控制端发送过来的控制数据作为IE程序的指定启动参数,打开iexplore.exe进程。

549050-20170519195035338-2059380292.png

图28 IDA伪C代码-自带IE打开网页

其他参数还接收了0x2、0x3、0x4、0x5,其中0x2/0x4/0x5未发现有实质的操作,接收到0x3的控制指令后,线程的作用是利用文件路径C:\WINDOWS\system32\Program Files\Internet Explorer\iexplore.exe下的iexplore.exe程序向网址发送GET形式的Http数据请求包。代码片段如下:

549050-20170519195144775-406412352.png

图29 接收命令参数

549050-20170519195216182-147126318.png

图30 发送GET形式的Http数据请求包

线程C的功能与线程B大体一致,连接的域名为:

549050-20170519195254916-595272801.png

图31 连接域名www.520123.xyz

线程D的连接域名使用了加密函数。

549050-20170519195327775-1040478679.png

图32 IDA伪C代码-线程D加密函数

在OD载入后动态执行时结果被解密出来。

549050-20170519195359775-200201050.png

图33 OD反汇编代码-连接域名www.520520520.org:9426

Hra33.dll功能是通过加载lpk.dll对其他exe和压缩包进行感染。代码片段如下:

549050-20170519195436853-1457648951.png

图34 hra33.dll入口点函数

遍历文件目录,如果找到.exe的目录就把lpk.dll放到该目录下。代码片段如下:

549050-20170519195507791-508379690.png

图35 感染函数

感染zip/rar的方式主要还是利用winrar.rar的rar.exe(命令行工具),首先搜索压缩包内有没有lpk.dll这个文件,然后如果有.exe,就将压缩包重新解压添加lpk.dll文件再压缩。代码片段如下:

549050-20170519195544588-2046994331.png

图36 感染压缩文件

3.解决方案

3.1 提取病毒的特征,利用杀毒软件查杀

Ghijkl Nopqrstu Wxy对应hex 4768696A6B6C204E6F70717273747520577879

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、停止【Ghijkl Nopqrstu Wxy】名称的服务

2、删除【Ghijkl Nopqrstu Wxy】键项的注册表

3、删除【C:\windows\system32\hra33.dll】文件

4、清空除了C:\windows\system32\lpk.dll外,所有zip、rar、exe下的lpk.dll文件

黑客交流通常用IDA就够了。。
这是IDA的分析文件和OD注释文件,还有提取出来的hra33.dll

链接: http://pan.baidu.com/s/1bps2sn9 密码: gipa

压缩包解压密码为:52pojie

同时这也是我在52pojie拿到的第一篇精华帖。

转载于:https://www.cnblogs.com/17bdw/p/6879950.html

weixin_30675247
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
lpk.dll专杀工具RavRbot和lpkKiller
05-11
lpkKiller是巨盾出品的...RavRbot是一款针对Backdoor.Win32.Rbot后门病毒的专用清除工具,而该病毒可以在有可执行文件的目录下生成LPK.DLL文件,当运行改文件的时间便会激活,导致不能彻底清除,而本工具便能很好的解决
LPK病毒专杀工具C源代码
c_cold1988的博客
05-25 1466
最近分析了一个lpk病毒,链接  http://bbs.pediy.com/thread-217841.htm 但感觉还不过瘾,于是手痒写了这个C语言版本的专杀工具。 行为不多说了,杀毒思路1.结束服务:Ghijkl Nopqrstu Wxy,删除服务对应的exe文件。 2.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ Gh
3601病毒分析
datouyu0824的博客
03-20 1260
1.样本概况 1.1 样本信息 病毒名称:3601 所属家族:Zard MD5值:B5752252B34A8AF470DB1830CC48504D SHA1值:AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18 CRC32:4EDB317F 病毒行为概述: - 文件操作行为: 0. 删除病毒进程文件,使用随机文件名创建新的病毒文件并启动进程 1. 遍历目录生成lpk.dll文件,覆盖原dll文件,同时还创建其他文件 - 系统操作行为: ...
win10关闭系统更新的设置
qq_40914725的博客
08-22 2753
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc中的start具体数值的意思 0 引导 1 系统 2 自动 3 手动 4 禁用 win关闭系统的自动推送更新需要进行如下操作 一、需要在"服务"中禁用Windows Update 快捷键win图标+R键 输入services.msc,然后回车 在服务中找到Windows Update 打开Windows Update的属性,修改启动类型为禁用,点击应用-确定 切换到导航栏的恢复选项
一个lpk.dll病毒分析报告
c_cold1988的博客
05-23 4936
1样本概况 病毒名称为3601.exe,运行后无窗口。采用UPX加壳,编写语言为Microsoft Visual C++ 6.0 。 1.1样本信息 病毒名称:3601.exe 所属家族: MD5值:a5e4519f7cbb6e7efcff5474bb9179e0 SHA1值:E749452E3FDCE42A02313D9D2217405518127C2C CRC32:1BC7519
3601劫持病毒分析报告
m0_37913004的博客
04-18 1880
1.样本概况 1.1 样本信息 病毒名称:3601.exe 所属家族:Trojan-DDoS.Win32.Macri.atk MD5值:b5752252b34a8af470db1830cc48504d MD5值:8a1716b566d20b77c20647d0f760b01c SHA1值:aec38add0aac1bc59bfaaf1e43dbdab10e13db18 1.2 测试环境及工具 测试...
lpk.rar_lpk_lpk. dll_lpk.dll
09-20
模拟了lpk.dll,可以实现劫持。具体的你可查看源代码,自己修改一下就可以了。
LPK.DLL--USP10.DLL-DELETE.rar_lpk_lpk.dll_usp10.dll
09-14
Virus Kill USP10.DLL LPK.DLL
lpk.dll,usp10.dll感染病毒专杀工具
11-21
lpk.dll,usp10.dll感染病毒专杀工具
lpk.dll killer专杀工具(不删除压缩文件仅删DLL).zip
04-02
lpkkiller专杀工具(不删除压缩文件仅删DLL),这个工具比其他软件强,360杀毒的时候,会把压缩包一起删除了,太可恨了,这个专杀工具,只剥离病毒,不删除我们有用的压缩文件
某后门病毒分析报告(2)——IPC$内网渗透
weixin_43742894的博客
04-13 362
接上篇后门病毒分析报告。 第一个线程中,使用 ipc$ 进行局域网内中的主机进行干扰,下面对 IPC$ 进行一定的了解。 IPC$ 基本概念 **IPC$ (Internet Process Connection)**是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。 利用IPC$,连接者甚至可以...
病毒式传播的八种方式
chenyanxu的专栏
12-28 2092
想想Facebook、LinkedIn、Youtube、Dropbox和Skype都有什么共同点?除了都非常成功之外,或许它们共同的特点就是能在快速增长过程中运用很有效的病毒式营销了。 至于这些公司是怎么做到的,来看看下面这八种方式吧。 1、天生的传播特性(Inherent virality) 这是最原始的一种病毒式传播,可以称得上是口碑效应。简单说就是如果你的产品足够好,自然会
LPK木马分析-01
Bill
05-02 429
序言 在吾爱破解上面找的一个, 练习用的, 本篇文章分析第一个线程的作用. WinMain int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { struct WSAData WSAData; // [sp+0h] [bp-1A0h]@1 ...
LPK木马分析-02
Bill
05-02 241
序言 接着上回的分析, 分析另外三个重要函数,这三个函数除了域名不一样, 没什么太大差别, 所以只分析一个即可. StartAddress 获取函数 v0 = LoadLibraryA("kernel32.dll"); GetProcAddress(v0, &ProcName); v1 = LoadLibraryA("kernel32.dll"); GetT...
有关lpk.dll病毒的清除方法
热门推荐
每天进步一点点就好
12-10 4万+
lpk.dll病毒是常见的病毒感染之后很难清除,它会在整个系统中到处放置他的副本,同时有多种方式相互照应,必须全部清除才能清理干净。 以下为我试过的大致的清理步骤: 1. 打开我的电脑,在工具,文件夹选项,查看里面选择显示系统文件,这样便于看到隐藏的lpk.dll文件。 2. 下载一个专杀工具,我下载的是金山的专杀,ravrbot.exe 3. 直接运行杀毒,会提示有杀毒失败的
记一次lpk劫持样本分析
Test网络安全
08-26 1808
lpk.dll病毒是比较常见的一类病毒,系统本身的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录。 lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致不能彻底清除。 样本概况 样本基本信息 MD5: 304bbe0e401d84edf63b68588335ceb6 SHA-1: 8389fb046644
一个DDOS病毒的分析(一)
Fly20141201. 的专栏
08-20 4745
一、基本信息 样本名称:Rub.EXE 样本大小:21504 字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78DD104CB0E1D184043 样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB   病毒文件的组成: 病毒母体文件Rub.EX
linux查看一个目录下每个文件夹的大小
Debug yourself!
04-19 442
这会列出指定目录下每个文件夹的大小,并以人类可读的格式(例如,KB,MB,GB)显示。要查看一个目录下每个文件夹的大小,你可以使用。替换为你要查看的目录的实际路径。命令(disk usage)。
网工常用工具——tcping
最新发布
qq_36382667的博客
04-25 494
tcping 是一个网络诊断工具,主要用于测试TCP端口的可达性和连接建立时间。相较于传统的ping命令(基于Internet Control Message Protocol, ICMP),tcping 更侧重于检查传输层(TCP)的服务状态,而非网络层(IP)的连通性。
lpk.dll 这个是木马吗?
06-01
lpk.dll 本身不是木马,它是 Windows 操作系统的一个系统文件,主要用于支持多语言界面。...如果您的计算机中的 lpk.dll 文件被感染或替换为恶意文件,可能会对系统安全造成威胁,建议使用杀毒软件进行扫描和清除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值