作者:黑蛋
一、病毒简介
文件名称:
1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb
文件类型(Magic):
PE32 executable (GUI) Intel 80386, for MS Windows
文件大小:
52.50KB
SHA256:
1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb
SHA1:
8389fb0466449755c9c33716ef6f9c3e0f4e19c8
MD5:
304bbe0e401d84edf63b68588335ceb6
CRC32:
757BDFA1
SSDEEP:
768:QfvoyXXQkZuzQE98Fs+UwMVdPG42EmAjE/yQd07d21a1Xxu0HfqaWF6i5XcojY9U:QfvoyXgkAP2EFjtQd07k1sXPHijmU
ImpHash:
bdd8c968182d3c29007cb3a7a7e8fe4c
二、环境准备
| 系统 |
| win7x86 |
三、行为分析
接下来借助火绒剑查看一下行为。
这里同样是生成了一个子病毒,我们简单进行一下过滤,文件创建写入,注册表创建,网络行为等:
可以看到,在c:\Windows下生成一个子病毒,当然也注意这里生成了一个hra33.dll:
然后通过cmd删除自身:
这就是母体干的事,接下来看看子病毒干的啥事:
首先这里是干了一些资源释放,在多个文件路径下创建lpk.dll,向下继续看的话,可以看到在很多路径下都有这个dll,他应该是遍历,在所有文件夹下面创建这个dll:
随后就是网络链接操作了:
可以看到一直在进行发包收包操作,结合沙箱的分析结果:
可以看到一共访问了三个域名:sbcq.f3322.org;www.520123.xyz;www.520520520.org
总结一下就是释放dll,网络链接;
四、静态分析
拖入PEID,啥也没,应该是被脱过了:
拖入IDA中,直接在winmain函数处F5:
4.1、sub_405A52
可以看到这里是一个简单的判断服务是否启动,启动的话进入else,服务名Ghijkl Nopqrstu Wxy;
4.2、sub_40561A
接下来看回调函数sub_40561A:
这里主要是创建了4个线程,首先看sub_405394;
4.2.1、sub_405394
进去之后再走到EnumFunc函数中:
这里是定位资源,然后再当前目录下创建文件,写入资源内容;
4.2.2、sub_4053A6
主要在这里,看病毒文件是否存在,存在就拿到句柄,把服务加入资源文件中。
4.2.3、sub_4034E5
这是一个简单的加载hra33.dll的函数;
4.2.4、sub_402DD5
首先可以看到这里,一些用户名和密码,这里应该是用来暴力测试;
这里不断地是获取主机名,再获取hostent结构,然后枚举用户名密码进入sub_402AD0,
这里就是建立连接,通过局域网传播病毒。
4.2.5、sub_4051E0、sub_405241、sub_40387C
这三个回调函数一样,在不同服务器上下载东西,执行,我们只看第一个,一直跟进回调函数到StartAddress:
可以看到这里都是一些在服务器中下载东西,然后跑起来,最后删除自己,其他俩个函数和这个函数一样,无非就是服务器地址不同,最后一个函数里面服务器域名是加密的,直接在OD运行到这里查看就行,是www.520520520.org:9426 ;
4.3、sub_405B6E
这里是在c:\Windows\system32下创建随机病毒文件;接下来是一些服务操作,结尾是sub_40355B函数,我们直接跟进去:
可以看到是一个删除自身的一个操作。
五、hra33.dll分析
看完病毒体,我们再看一下关键dll–>hra33.dll,直接在c:\windows\system32下找到hra33.dll,拖入IDA中分析,直接在主函数处F5:
5.1、sub_10001134
简单的查找病毒资源是否存在;
5.2、sub_10001338
判断当前模块名字是否为hrlxx.tmp;
5.3、sub_10001193
这里就是找到资源,定位资源位置,在临时文件目录中创建hrl,然后把资源内容拷贝进去。
5.4、sub_100012F6
加载lpk.dll
5.5、sub_100019E6
这里是判断磁盘类型,然后创建一个线程,我们跟进去回调函数:
可以看到是判断文件是否是exe,是的话创建lok.dll;如果是rar或者zip等压缩文件,则进去sub_1000142B:
解压文件,然后替换lpk.dll,随后重新打包,删除临时文件;
5.6、sub_100010CE
这里是保存了lpk的导出函数地址。
六、病毒总体思路总结
首先开始运行,判断是否有病毒的注册表:
是:注册函数设置服务请求–设置启动服务–找到dll,释放–把病毒和服务加到hra33.dll,然后加载此dll–
线程1(家里IPC链接,局域网内传播,定时启动)—后面三个线程链接服务器下载东西,根据指令进行不同操作;
否:启动病毒服务–设置键值–删除原病毒
