病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))
样本信息
文件名称:hra33.dll或lpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir
大小: 46080 bytes
修改时间: 2017年8月1日, 12:08:36
MD5: A066B5BB41892068E172E5F52B3137F4
SHA1: 658889F4B0F62B6785C1D8786B6A6B5A2268D00C
CRC32: 43256D4C
生成的文件
其中,
hra33.dll为病毒主体
lpkres.dmp为从病毒主体中dump出来的资源文件(也是PE文件)
gsioo.exe为病毒运行过程中自我复制到系统目录下的文件(文件名随机,文件与lpkres.dmp相同)
gsiqoores.dmp为gsioo.exe的资源文件(也是PE文件,代码与hra33.dll类似操作)
SOFTWARE.LOG为病毒运行过程中自我复制到Temp文件夹下的备份(文件名始终是SOFTWARE.LOG,文件与lpkres.dmp相同)
恶意行为
1.创建服务用于自启动
2.注入系统进程执行恶意代码
3.仿lpk.dll注入正常程序
4.访问恶意网站,可以下载执行恶意程序