LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
本帖最后由 Print动 于 2021-4-3 09:45 编辑1.样本概况1.1 样本信息病毒名称:LPK劫持病毒大小: 24576 bytes文件版本:7.02.2600.5512 (xpsp.080413-0852)修改时间: 2015年9月29日, 13:10:48MD5: B5752252B34A8AF470DB1830CC48504DSHA1: AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18CRC32: 4EDB317F
病毒行为:1.2 测试环境及工具系统:WIN7 x32虚拟机工具:PEID OD IDA 火绒剑 PCHunter32
1.3 分析目标2.具体行为分析病毒行为分析,编写专杀工具。2.1 信息收集2.1.1 查壳脱壳后PEID查看2.1.2 云沙箱分析2.1.3 导入表查看2.1.4 字符串信息收集3.病毒样本动作捕捉
模块加载修改与写入文件设置注册表项进程写入操作网络监控释放PE文件与释放隐藏文件3.1.1资源分析详细分析伪代码函数sub_405B6E分析以上代码,程序第一次运行,将自己拷贝到指定系统目录,创建服务,启动服务,删除自身。若服务已被创建,则通过判断,第二次打开程序则直接打开服务。调用sub_40561A。sub_405394 函数内部回调函数EnumFuncsub_4053A6 函数功能sub_4034E5 函数分析接下来是四个创建线程的操作,从第一个开始分析第一个线程的回调函数第一个线程的主要功能就是通过IPC链接两病毒在局域网传播。第二个线程的详细分析内部函数sub_404044的分析sub_4060F0分析所以这个函数的具体功能为收集系统信息第三个线程内部分析总结:函数功能与第一个线程回调函数一样第二个远程连接服务器地址sbcq.f3322.org第三个远程连接服务器地址www.520123.xyz第四个远程连接服务器地址被加密,"1NTUHRYRExYRExYREx3c0eQJChcRFUM=",解密后是www.520520520.org:9426病毒程序加载的dll详细分析导出表sub_100019E6 分析sub_100018D3 分析sub_1000142B 分析手工查杀:删除病毒文件使用PcHumter结束病毒程序删除病毒启动项修复lpk文件,将其他路径下的lpk删除,或直接使用杀毒软件查杀
学习了 想要样本自己试一试 谢谢师傅 三滴H2O 发表于 2021-4-2 17:23
学习了 想要样本自己试一试 谢谢师傅
样本已上传,推荐使用Win7 x86 进行运行,测试前做好虚拟机快照 Print动 发表于 2021-4-3 09:46
样本已上传,推荐使用Win7 x86 进行运行,测试前做好虚拟机快照
好的 谢谢提醒 大神真多啊。 感谢分享,我会认真学习的!
页:
[1]