跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

LPK病毒分析报告

XenoG
XenoG
木马病毒分析

精选回复

发布于

文件: lpk.dll

大小: 44032 字节

MD5: 78311085E5CD3F86A7243D628BFACF95

SHA1: BA7C78590F1E940F51AFD2945674D904A814F976

CRC32: F223E90D

LPK.dl主要行为:

pk.dll获取了系统正常的lpk.dll文件的导出函数地址,并伪装成正常的lpk文件,当伪装的LPK.dll被加载后,该模块会进行以下的操作:

  1. 伪装的lpk.dll释放其中包含一段恶意资源到Windows临时目录下,将该资源命名为hrl*.tmp(*为随机字符), 用任意十六进制查看器可以看到该资源是PE文件。

 0lzs1bidt0u2016.png

                       图1   lpk.dll中的一段资源文件

 l5djajq3rry2019.png

                      图 2  调用FindResourceA查找资源

  1. 调用CreateProcess将创建hrl*.tmp进程。

 yy2swo5wh2u2027.png

  1. 遍历磁盘目录,如果当前目录存在”.exe”后缀的文件,将自身lpk.dll拷贝到当前目录。

 rkcapo0em1p2031.png

将lpk.dll拷贝到当前目录,并将属性设置为隐藏:

 1sitju4ybja2035.png

对lpk.dll释放的母体hrl*.tmp的分析:

Hrl*.tmp主要行为:

hrl*.tmp是lpk.dll释放的恶意文件,当创建该进程后,将会进行大量的恶意操作,归类如下:

1、  创建服务:

首先判断注册表项:"SYSTEM\\CurrentControlSet\\Services\\Nationaluhm”是否存在,如果存在注册表项,则先将自己拷贝一份命名为”******.exe”,复制到”C:\Windows\System32\”目录下,然后创建一个名称为”Nationaluhm”的服务,将该服务的可执行文件指向刚刚复制的”C:\Windwos\System32\******.exe”,启动该服务。

 xnexggs1sbe2038.png

 

                 图3 复制hrl*.tmp到系统目录

 jwjcjzqzxqh2041.png

               图4 创建并启动服务

5ketnvwo2mx2045.png 

2.修改注册表

将” SYSTEM\\CurrentControlSet\\Services\\Nationaluhm\\”下Description的键值设置为” Nationallwk Instruments Domain Service”.

 mvokow1fmhf2046.png

                  图5 修改注册表

3.进程操作:

如果注册表项不存在,将进程注入到Svhost.exe中:

(1)       首先调用CreatProcess函数创建一个Svchost.exe,并且使进程处于CREATE_SUSPEND状态。

(2)       调用GetThreadContect函数获取Svchost进程的各个寄存器的值,其中EBX指向PEB,EAX保存程序的入口点。

(3)从PEB中获取进程的基址base_address(EBX+0x8)

(4)调用ZwUnmapViewOfSection卸载这个基址内存空间的数据,(该函数由ntdll.dll导出),(5)然后调用VirtualAllocEx函数在Svchost.exe进程空间里申请足够大的一片内存,读取hrl.tmp到内存中,调用WriteProcessMemory函数将hrl*.tmp拷贝到申请的空间。

用hrl*.tmp的BaseAddress修正svchsot进程中的PEB。用Eax设置入口地址,调用SetThreadContext修正。

(6)用ResumeThread函数恢复svhost.exe,注入完成。

 gatljijkbrt2048.png

获取ZwUnmapViewOfSection的地址

 xxjboz5pxlh2050.png

调用WriteProcessMemory函数将hrl*.tmp写到到申请的空间

 x3go2gz2mxo2052.png

SetThreadContext修正入口地址,ResumeThread重启进程。

 ubqmyguy14l2054.png

注入后的svhost进程相当于一个僵尸进程,可以用XueTr查看svhost.exe的模块

 xi3xniuzmdu2055.png

  1. 网络操作:

首先将当前进程的母体资源写入到hra33.dll,相当与重新合成lpk.dll.

 zsqw0m24nku2057.png

                    Hrl**.exe中包含了的lpk.dll

调用EnumResourceNamel遍历当前模块,将资源写入hrl33.dll

 qo5pc4aravk2058.png

调用CreateFileA将模块写入hra*.dll

 x03zhhlpn2c2060.png

给hra*.dll添加资源:

 

 yatgwjaskve2062.png

                     写入编号为0x66(102)的资源

 bulwmltr4j52064.png

                     写入编号为0x65(101)的资源

 

开启下载线程,从服务器地址为:http://www.ody.cc/vip48.html的页面,并从该页面获取病毒的服务器地址.jmwfmpujolk2066.png

通过上面获取的页面信息获得服务器ip地址和端口号,与远程服务器建立socket连接,将连接设置为KEEPALIVE状态,75s检测一次连接状态。

获取计算机的运行Windows版本信息,CPU频率,以及运行内存大小,通过socket发送给远程服务器。

ondzqierffy2067.png

 

从远程服务器读取远控文件”PlusCtrl.dll”,并获取导出函数”ProcessTrans”来对计算机进行远程控制。

 x3g5alcblcr2069.png

加载PlusCtr.dll

 3abzzuxohr52070.png

接收服务端指令,执行操作

 eabsjdsr1rm2071.png

接收远程服务器指令,通过switch case语句对不同的指令执行相应的操作,计算机成为僵尸机(肉鸡),可以对任意指定的服务器发起恶意请求(或DDOS攻击)。

 f01qxes435d2073.png

其中402004保存执行操作的数据表

 0h2qe5tjbm52075.png

 当收到不同指令则对应表中不同的地址,然后指向相应的操作函数;

 ap4ougk3cmr2077.png

Case 22:从服务器获取PlusCtr.dll

 tjx3jfitgdw2078.png

Case 2:对指定的IP发起DDOS

 1envifynmtv2080.png

Case 16 17:下载恶意文件到临时目录并执行

 gvaw2skyttj2081.png

Case 19 以隐藏方式打开ie指定页面,case 20 用正常窗口方式打开指定页面

 dkdquqvlwbw2082.png

标题: 作者: 时间: 链接:

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。