吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 17872|回复: 52
收起左侧

[PC样本分析] 一个Trojan木马病毒的分析(二)

  [复制链接]
龙飞雪 发表于 2015-8-27 09:53
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 龙飞雪 于 2015-8-31 14:53 编辑

一个Trojan木马病毒的分析(二)
作者:龙飞雪
一、基本信息

样本名称:hra33.dll或者lpk.dll
样本大小: 66560 字节
文件类型:Win32的dll文件
病毒名称:Dropped:Generic.ServStart.A3D47B3E
样本MD5:5B845C6FDB4903ED457B1447F4549CF0
样本SHA1:42E93156DBEB527F6CC104372449DC44BF477A03

这个样本文件是前面分析的Trojan木马病毒母体Rub.EXE释放到用户系统C:\WINDOWS\system32目录下的病毒文件C:\WINDOWS\system32\hra33.dll。在前面的木马病毒分析中没有具体的分析病毒母体进程Rub.EXE加载动态库hra33.dll的行为。

图片1.png

二、样本行为分析

1. 从当前病毒文件hra33.dll的资源中查找名称为0x65的字符串资源".Net CLR"
  
图片2.png

图片3.png

2. 判断当前运行的病毒进程文件是否是"hrl%.TMP"(其中%代表其他的字符)文件。

图片4.png

3. 判断互斥信号量".Net CLR"是否已经存在,防止病毒行为的二次执行。

图片5.png

4. 在当前病毒文件hra33.dll的资源中查找资源名称为0x66的资源,该资源其实就是一个PE文件。
  
图片6.png

图片7.png

5. 如果互斥信号量".Net CLR"已经存在并且在用户系统的临时文件路径下"hrl%.TMP"(其中%代表其他的字符)文件不存在则使用获取到的资源名称为0x66的资源,在用户系统的临时文件路径下释放病毒文件"hrl%.TMP",如hrl65.tmp。
  
图片8.png

图片9.png

6. 在用户系统临时文件目录释放病毒文件hrl65.tmp成功,运行病毒文件hrl65.tmp,创建病毒进程hrl65.tmp。

图片10.png

7. 调用函数{lstrcmpiA}判断当前运行的病毒模块是否是lpk.dll文件。

图片11.png

8. 如果当前运行的模块病毒文件lpk.dll,则对用户系统驱动器里的".EXE"文件和压缩包{".RAR"}{".ZIP"}里".EXE"文件进行dll劫持。下面对病毒模块的dll劫持行为进行具体的分析。

8.1 分别创建线程,遍历用户电脑的 可移动的硬盘驱动器网络驱动器CD-ROM 驱动器不区分只读和可读写的 CD-ROM 驱动器)里的文件,为后面对{".EXE"}程序,进行dll劫持做准备。

图片12.png

图片13.png
  
8.2 如果上面对用户电脑里的文件遍历,遍历到的是{".EXE"}文件,则拷贝病毒模块文件lpk.dll到该{".EXE"}文件的文件目录下,进行dll的劫持。

图片14.png

8.3 如果上面对用户电脑里的文件遍历,遍历到的是 {".RAR"} {".ZIP"} 格式的压缩包文件,则对压缩包里的{".EXE"}文件进行dll劫持,拷贝病毒模块文件lpk.dll到压缩包里的{".EXE"}文件的文件目录下。

图片15.png

9. 如果当前运行的病毒模块不是病毒文件lpk.dll,则动态加载库文件{C:\WINDOWS\system32\lpk.dll}并进行lpk.dll文件的初始化,为后面 dll直接转发的方式劫持系统库文件lpk.dll 做准备。

图片16.png

图片17.png

三、病毒行为总结


1. 从当前病毒文件hra33.dll的资源中查找名称为0x65的字符串资源".Net CLR"。


2. 判断当前运行的病毒进程文件是否是"hrl%.TMP"(其中%代表其他的字符)文件。


3. 判断互斥信号量".Net CLR"是否已经存在,防止病毒行为的二次执行。


4. 在当前病毒文件hra33.dll的资源中查找资源名称为0x66的资源,该资源其实就是一个PE文件。


5. 如果互斥信号量".Net CLR"已经存在并且在用户系统的临时文件路径下"hrl%.TMP"(其中%代表其他的字符)文件不存在,则使用获取到的资源名称为0x66的资源,在用户系统的临时文件路径下释放病毒文件"hrl%.TMP",如hrl65.tmp。


6. 在用户系统临时文件目录释放病毒文件hrl65.tmp成功,运行病毒文件hrl65.tmp,创建病毒进程hrl65.tmp。


7. 调用函数{lstrcmpiA}判断当前运行的病毒模块是否是lpk.dll文件。


8. 如果当前运行的模块是病毒文件lpk.dll,则对用户系统驱动器里的".EXE"文件和压缩包{".RAR"}或{".ZIP"}里".EXE"文件进行dll劫持。下面对病毒模块的dll劫持行为进行具体的分析。


8.1 分别创建线程,遍历用户电脑的可移动的硬盘驱动器、网络驱动器、 CD-ROM 驱动器(不区分只读和可读写的 CD-ROM 驱动器)里的文件,为后面对{".EXE"}程序,进行dll劫持做准备。


8.2 如果上面对用户电脑里的文件遍历,遍历到的是{".EXE"}文件,则拷贝病毒模块文件lpk.dll到该{".EXE"}文件的文件目录下,进行dll的劫持。


8.3 如果上面对用户电脑里的文件遍历,遍历到的是 {".RAR"} 或 {".ZIP"} 格式的压缩包文件,则对压缩包里的{".EXE"}文件进行dll劫持,拷贝病毒模块文件lpk.dll到压缩包里的{".EXE"}文件的文件目录下。


9. 如果当前运行的病毒模块不是病毒文件lpk.dll,则动态加载库文件{C:\WINDOWS\system32\lpk.dll}并进行lpk.dll文件的初始化,为后面dll直接转发的方式劫持系统库文件lpk.dll 做准备。

  

免费评分

参与人数 11热心值 +11 收起 理由
be1tso + 1 继续叹为观止!
Edward0524 + 1 鼓励转贴优秀软件安全工具和文档!
qqpp8023 + 1 热心回复!
便宜货 + 1 鼓励转贴优秀软件安全工具和文档!
dingk + 1 大赞备注!
tianze050 + 1 谢谢@Thanks!
alimaliya + 1 遍历以后挨个感染- - #
peter_king + 1 谢谢@Thanks!
康小泡 + 1 可以少截图,多复制反汇编代码用插入代码的.
送信员 + 1 我很赞同!
Amor残梦 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

隐藏英雄 发表于 2015-9-18 21:33
龙飞雪 发表于 2015-9-18 21:00
哈哈,你是没有遇到感染型的病毒,或者蠕虫那个比dll劫持病毒更可恶

什么蠕虫。熊猫烧香,等等,都弱爆了  伤害程度根本不能和LPK比, 这LPK 你要是做电脑维修的话  那真是悲剧。 N台电脑被感染,而且U盘杀毒杀干净,一不小心插到以前用过的电脑上 不知不觉,它就缠绕上你了
 楼主| 龙飞雪 发表于 2015-10-13 14:05
Edward0524 发表于 2015-10-13 12:20
我中过这种病毒....后来全盘杀lpk.dll.装系统.才避免..

这个病毒是比较难处理,但是应为病毒创建了病毒服务,然后lpk也是一个处理的难点,只要把这两点把握好了,查杀他不是问题。
Keller 发表于 2015-8-27 10:54
Amor残梦 发表于 2015-8-27 11:01
火钳刘明!!!
Shadow_hy 发表于 2015-8-27 16:08
很赞 感谢楼主
 楼主| 龙飞雪 发表于 2015-8-27 16:38

多谢支持...
康小泡 发表于 2015-8-31 11:53
你的注释写的好详细啊
康小泡 发表于 2015-8-31 12:07
你用的什么反汇编工具啊,为啥感觉咋么炫酷
 楼主| 龙飞雪 发表于 2015-8-31 13:49
康小泡 发表于 2015-8-31 12:07
你用的什么反汇编工具啊,为啥感觉咋么炫酷

IDA啊,泄漏的绿色版6.6里有字体的设置,自己设置下就OK。
康小泡 发表于 2015-8-31 16:07
龙飞雪 发表于 2015-8-31 13:49
IDA啊,泄漏的绿色版6.6里有字体的设置,自己设置下就OK。

我都没看出来啊,我还以为你用的其他啥呢。不过粉红色那个注释感觉就有点怪怪的啊
 楼主| 龙飞雪 发表于 2015-8-31 16:42
康小泡 发表于 2015-8-31 16:07
我都没看出来啊,我还以为你用的其他啥呢。不过粉红色那个注释感觉就有点怪怪的啊

是的,一般绿色的注释比较好,凑合着用
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:00

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表