一、基本信息

樣本名稱(chēng)：hra33.dll或者lpk.dll

樣本大小：?66560?字節(jié)

文件類(lèi)型：Win32的dll文件

病毒名稱(chēng)：Dropped:Generic.ServStart.A3D47B3E

樣本MD5：5B845C6FDB4903ED457B1447F4549CF0

樣本SHA1：42E93156DBEB527F6CC104372449DC44BF477A03

?

這個(gè)樣本文件是前面分析的Trojan木馬病毒母體Rub.EXE釋放到用戶(hù)系統(tǒng)C:\WINDOWS\system32目錄下的病毒文件C:\WINDOWS\system32\hra33.dll。在前面的木馬病毒分析中沒(méi)有具體的分析病毒母體進(jìn)程Rub.EXE加載動(dòng)態(tài)庫(kù)hra33.dll的行為。

二、樣本行為分析

1.?從當(dāng)前病毒文件hra33.dll的資源中查找名稱(chēng)為0x65的字符串資源".Net?CLR"。

2.?判斷當(dāng)前運(yùn)行的病毒進(jìn)程文件是否是"hrl%.TMP"（其中%代表其他的字符）文件。

3.?判斷互斥信號(hào)量".Net?CLR"是否已經(jīng)存在，防止病毒行為的二次執(zhí)行。

4.?在當(dāng)前病毒文件hra33.dll的資源中查找資源名稱(chēng)為0x66的資源，該資源其實(shí)就是一個(gè)PE文件。

5.?如果互斥信號(hào)量".Net?CLR"已經(jīng)存在并且在用戶(hù)系統(tǒng)的臨時(shí)文件路徑下"hrl%.TMP"（其中%代表其他的字符）文件不存在，則使用獲取到的資源名稱(chēng)為0x66的資源，在用戶(hù)系統(tǒng)的臨時(shí)文件路徑下釋放病毒文件"hrl%.TMP"，如hrl65.tmp。

6.?在用戶(hù)系統(tǒng)臨時(shí)文件目錄釋放病毒文件hrl65.tmp成功，運(yùn)行病毒文件hrl65.tmp，創(chuàng)建病毒進(jìn)程hrl65.tmp。

7.?調(diào)用函數(shù){lstrcmpiA}判斷當(dāng)前運(yùn)行的病毒模塊是否是lpk.dll文件。

8.?如果當(dāng)前運(yùn)行的模塊是病毒文件lpk.dll，則對(duì)用戶(hù)系統(tǒng)驅(qū)動(dòng)器里的".EXE"文件和壓縮包{".RAR"}或{".ZIP"}里".EXE"文件進(jìn)行dll劫持。下面對(duì)病毒模塊的dll劫持行為進(jìn)行具體的分析。

?

8.1?分別創(chuàng)建線程，遍歷用戶(hù)電腦的可移動(dòng)的硬盤(pán)驅(qū)動(dòng)器、網(wǎng)絡(luò)驅(qū)動(dòng)器、?CD-ROM?驅(qū)動(dòng)器（不區(qū)分只讀和可讀寫(xiě)的?CD-ROM?驅(qū)動(dòng)器）里的文件，為后面對(duì){".EXE"}程序，進(jìn)行dll劫持做準(zhǔn)備。

8.2?如果上面對(duì)用戶(hù)電腦里的文件遍歷，遍歷到的是{".EXE"}文件，則拷貝病毒模塊文件lpk.dll到該{".EXE"}文件的文件目錄下，進(jìn)行dll的劫持。

8.3?如果上面對(duì)用戶(hù)電腦里的文件遍歷，遍歷到的是?{".RAR"}?或?{".ZIP"}?格式的壓縮包文件，則對(duì)壓縮包里的{".EXE"}文件進(jìn)行dll劫持，拷貝病毒模塊文件lpk.dll到壓縮包里的{".EXE"}文件的文件目錄下。

9.?如果當(dāng)前運(yùn)行的病毒模塊不是病毒文件lpk.dll，則動(dòng)態(tài)加載庫(kù)文件{C:\WINDOWS\system32\lpk.dll}并進(jìn)行l(wèi)pk.dll文件的初始化，為后面dll直接轉(zhuǎn)發(fā)的方式劫持系統(tǒng)庫(kù)文件lpk.dll?做準(zhǔn)備。

三、病毒行為總結(jié)

1.?從當(dāng)前病毒文件hra33.dll的資源中查找名稱(chēng)為0x65的字符串資源".Net?CLR"。

2.?判斷當(dāng)前運(yùn)行的病毒進(jìn)程文件是否是"hrl%.TMP"（其中%代表其他的字符）文件。

3.?判斷互斥信號(hào)量".Net?CLR"是否已經(jīng)存在，防止病毒行為的二次執(zhí)行。

4.?在當(dāng)前病毒文件hra33.dll的資源中查找資源名稱(chēng)為0x66的資源，該資源其實(shí)就是一個(gè)PE文件。

5.?如果互斥信號(hào)量".Net?CLR"已經(jīng)存在并且在用戶(hù)系統(tǒng)的臨時(shí)文件路徑下"hrl%.TMP"（其中%代表其他的字符）文件不存在，則使用獲取到的資源名稱(chēng)為0x66的資源，在用戶(hù)系統(tǒng)的臨時(shí)文件路徑下釋放病毒文件"hrl%.TMP"，如hrl65.tmp。

6.?在用戶(hù)系統(tǒng)臨時(shí)文件目錄釋放病毒文件hrl65.tmp成功，運(yùn)行病毒文件hrl65.tmp，創(chuàng)建病毒進(jìn)程hrl65.tmp。

7.?調(diào)用函數(shù){lstrcmpiA}判斷當(dāng)前運(yùn)行的病毒模塊是否是lpk.dll文件。

8.?如果當(dāng)前運(yùn)行的模塊是病毒文件lpk.dll，則對(duì)用戶(hù)系統(tǒng)驅(qū)動(dòng)器里的".EXE"文件和壓縮包{".RAR"}或{".ZIP"}里".EXE"文件進(jìn)行dll劫持。下面對(duì)病毒模塊的dll劫持行為進(jìn)行具體的分析。

8.1?分別創(chuàng)建線程，遍歷用戶(hù)電腦的可移動(dòng)的硬盤(pán)驅(qū)動(dòng)器、網(wǎng)絡(luò)驅(qū)動(dòng)器、?CD-ROM?驅(qū)動(dòng)器（不區(qū)分只讀和可讀寫(xiě)的?CD-ROM?驅(qū)動(dòng)器）里的文件，為后面對(duì){".EXE"}程序，進(jìn)行dll劫持做準(zhǔn)備。

8.2?如果上面對(duì)用戶(hù)電腦里的文件遍歷，遍歷到的是{".EXE"}文件，則拷貝病毒模塊文件lpk.dll到該{".EXE"}文件的文件目錄下，進(jìn)行dll的劫持。

8.3?如果上面對(duì)用戶(hù)電腦里的文件遍歷，遍歷到的是?{".RAR"}?或?{".ZIP"}?格式的壓縮包文件，則對(duì)壓縮包里的{".EXE"}文件進(jìn)行dll劫持，拷貝病毒模塊文件lpk.dll到壓縮包里的{".EXE"}文件的文件目錄下。

9.?如果當(dāng)前運(yùn)行的病毒模塊不是病毒文件lpk.dll，則動(dòng)態(tài)加載庫(kù)文件{C:\WINDOWS\system32\lpk.dll}并進(jìn)行l(wèi)pk.dll文件的初始化，為后面dll直接轉(zhuǎn)發(fā)的方式劫持系統(tǒng)庫(kù)文件lpk.dll?做準(zhǔn)備。

參考網(wǎng)址：

http://blog.sina.com.cn/s/blog_8cb9886a01018hzz.html

http://www.xuebuyuan.com/1929372.html

總結(jié)

以上是生活随笔為你收集整理的一个DDOS病毒的分析(二)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。