您现在的位置是:首页 >技术杂谈 >病毒丨3601lpk劫持病毒分析网站首页技术杂谈

病毒丨3601lpk劫持病毒分析

极安御信安全研究院 2023-05-19 16:00:02
简介病毒丨3601lpk劫持病毒分析

作者:黑蛋

 

一、病毒简介

文件名称:
1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb
文件类型(Magic):
PE32 executable (GUI) Intel 80386, for MS Windows
文件大小:
52.50KB
SHA256:
1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb
SHA1:
8389fb0466449755c9c33716ef6f9c3e0f4e19c8
MD5:
304bbe0e401d84edf63b68588335ceb6
CRC32:
757BDFA1
SSDEEP:
768:QfvoyXXQkZuzQE98Fs+UwMVdPG42EmAjE/yQd07d21a1Xxu0HfqaWF6i5XcojY9U:QfvoyXgkAP2EFjtQd07k1sXPHijmU
ImpHash:
bdd8c968182d3c29007cb3a7a7e8fe4c

二、环境准备

系统

win7x86

三、行为分析

接下来借助火绒剑查看一下行为。

 

这里同样是生成了一个子病毒,我们简单进行一下过滤,文件创建写入,注册表创建,网络行为等:

 

可以看到,在c:Windows下生成一个子病毒,当然也注意这里生成了一个hra33.dll:

 

然后通过cmd删除自身:

 

这就是母体干的事,接下来看看子病毒干的啥事:

 

首先这里是干了一些资源释放,在多个文件路径下创建lpk.dll,向下继续看的话,可以看到在很多路径下都有这个dll,他应该是遍历,在所有文件夹下面创建这个dll:

 

随后就是网络链接操作了:

 

 


可以看到一直在进行发包收包操作,结合沙箱的分析结果:

 

可以看到一共访问了三个域名:sbcq.f3322.org;www.520123.xyz;www.520520520.org
总结一下就是释放dll,网络链接;

四、静态分析

拖入PEID,啥也没,应该是被脱过了:

 

拖入IDA中,直接在winmain函数处F5:

 

4.1、sub_405A52

 

可以看到这里是一个简单的判断服务是否启动,启动的话进入else,服务名Ghijkl Nopqrstu Wxy;

4.2、sub_40561A

接下来看回调函数sub_40561A:

 

这里主要是创建了4个线程,首先看sub_405394;

4.2.1、sub_405394

进去之后再走到EnumFunc函数中:

 

这里是定位资源,然后再当前目录下创建文件,写入资源内容;

4.2.2、sub_4053A6

 

主要在这里,看病毒文件是否存在,存在就拿到句柄,把服务加入资源文件中。

4.2.3、sub_4034E5

 

这是一个简单的加载hra33.dll的函数;

4.2.4、sub_402DD5

 

首先可以看到这里,一些用户名和密码,这里应该是用来暴力测试;

 

这里不断地是获取主机名,再获取hostent结构,然后枚举用户名密码进入sub_402AD0,

 

这里就是建立连接,通过局域网传播病毒。

4.2.5、sub_4051E0、sub_405241、sub_40387C

这三个回调函数一样,在不同服务器上下载东西,执行,我们只看第一个,一直跟进回调函数到StartAddress:

 

 

 

 

 

 

可以看到这里都是一些在服务器中下载东西,然后跑起来,最后删除自己,其他俩个函数和这个函数一样,无非就是服务器地址不同,最后一个函数里面服务器域名是加密的,直接在OD运行到这里查看就行,是www.520520520.org:9426 ;

4.3、sub_405B6E

这里是在c:Windowssystem32下创建随机病毒文件;接下来是一些服务操作,结尾是sub_40355B函数,我们直接跟进去:

 

可以看到是一个删除自身的一个操作。

五、hra33.dll分析

看完病毒体,我们再看一下关键dll–>hra33.dll,直接在c:windowssystem32下找到hra33.dll,拖入IDA中分析,直接在主函数处F5:

 

5.1、sub_10001134

 

简单的查找病毒资源是否存在;

5.2、sub_10001338

 

判断当前模块名字是否为hrlxx.tmp;

5.3、sub_10001193

 

这里就是找到资源,定位资源位置,在临时文件目录中创建hrl,然后把资源内容拷贝进去。

5.4、sub_100012F6

 

加载lpk.dll

5.5、sub_100019E6

 

这里是判断磁盘类型,然后创建一个线程,我们跟进去回调函数:

 

可以看到是判断文件是否是exe,是的话创建lok.dll;如果是rar或者zip等压缩文件,则进去sub_1000142B:

 

解压文件,然后替换lpk.dll,随后重新打包,删除临时文件;

5.6、sub_100010CE

 

这里是保存了lpk的导出函数地址。

六、病毒总体思路总结

首先开始运行,判断是否有病毒的注册表:
是:注册函数设置服务请求–设置启动服务–找到dll,释放–把病毒和服务加到hra33.dll,然后加载此dll–
线程1(家里IPC链接,局域网内传播,定时启动)—后面三个线程链接服务器下载东西,根据指令进行不同操作;
否:启动病毒服务–设置键值–删除原病毒

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。