當(dāng)前位置：首頁(yè) > 编程资源 > 编程问答 >内容正文

编程问答

一个DDOS病毒的分析(二)

發(fā)布時(shí)間：2024/4/11 编程问答 28 豆豆

生活随笔收集整理的這篇文章主要介紹了一个DDOS病毒的分析(二) 小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

一、基本信息

樣本名稱：hra33.dll或者lpk.dll

樣本大小：?66560?字節(jié)

文件類型：Win32的dll文件

病毒名稱：Dropped:Generic.ServStart.A3D47B3E

樣本MD5：5B845C6FDB4903ED457B1447F4549CF0

樣本SHA1：42E93156DBEB527F6CC104372449DC44BF477A03

這個(gè)樣本文件是前面分析的Trojan木馬病毒母體Rub.EXE釋放到用戶系統(tǒng)C:\WINDOWS\system32目錄下的病毒文件C:\WINDOWS\system32\hra33.dll。在前面的木馬病毒分析中沒有具體的分析病毒母體進(jìn)程Rub.EXE加載動(dòng)態(tài)庫(kù)hra33.dll的行為。

二、樣本行為分析

1.?從當(dāng)前病毒文件hra33.dll的資源中查找名稱為0x65的字符串資源".Net?CLR"。

2.?判斷當(dāng)前運(yùn)行的病毒進(jìn)程文件是否是"hrl%.TMP"（其中%代表其他的字符）文件。

3.?判斷互斥信號(hào)量".Net?CLR"是否已經(jīng)存在，防止病毒行為的二次執(zhí)行。

4.?在當(dāng)前病毒文件hra33.dll的資源中查找資源名稱為0x66的資源，該資源其實(shí)就是一個(gè)PE文件。

5.?如果互斥信號(hào)量".Net?CLR"已經(jīng)存在并且在用戶系統(tǒng)的臨時(shí)文件路徑下"hrl%.TMP"（其中%代表其他的字符）文件不存在，則使用獲取到的資源名稱為0x66的資源，在用戶系統(tǒng)的臨時(shí)文件路徑下釋放病毒文件"hrl%.TMP"，如hrl65.tmp。

6.?在用戶系統(tǒng)臨時(shí)文件目錄釋放病毒文件hrl65.tmp成功，運(yùn)行病毒文件hrl65.tmp，創(chuàng)建病毒進(jìn)程hrl65.tmp。

7.?調(diào)用函數(shù){lstrcmpiA}判斷當(dāng)前運(yùn)行的病毒模塊是否是lpk.dll文件。

8.?如果當(dāng)前運(yùn)行的模塊是病毒文件lpk.dll，則對(duì)用戶系統(tǒng)驅(qū)動(dòng)器里的".EXE"文件和壓縮包{".RAR"}或{".ZIP"}里".EXE"文件進(jìn)行dll劫持。下面對(duì)病毒模塊的dll劫持行為進(jìn)行具體的分析。

8.1?分別創(chuàng)建線程，遍歷用戶電腦的可移動(dòng)的硬盤驅(qū)動(dòng)器、網(wǎng)絡(luò)驅(qū)動(dòng)器、?CD-ROM?驅(qū)動(dòng)器（不區(qū)分只讀和可讀寫的?CD-ROM?驅(qū)動(dòng)器）里的文件，為后面對(duì){".EXE"}程序，進(jìn)行dll劫持做準(zhǔn)備。

8.2?如果上面對(duì)用戶電腦里的文件遍歷，遍歷到的是{".EXE"}文件，則拷貝病毒模塊文件lpk.dll到該{".EXE"}文件的文件目錄下，進(jìn)行dll的劫持。

8.3?如果上面對(duì)用戶電腦里的文件遍歷，遍歷到的是?{".RAR"}?或?{".ZIP"}?格式的壓縮包文件，則對(duì)壓縮包里的{".EXE"}文件進(jìn)行dll劫持，拷貝病毒模塊文件lpk.dll到壓縮包里的{".EXE"}文件的文件目錄下。

9.?如果當(dāng)前運(yùn)行的病毒模塊不是病毒文件lpk.dll，則動(dòng)態(tài)加載庫(kù)文件{C:\WINDOWS\system32\lpk.dll}并進(jìn)行l(wèi)pk.dll文件的初始化，為后面dll直接轉(zhuǎn)發(fā)的方式劫持系統(tǒng)庫(kù)文件lpk.dll?做準(zhǔn)備。