样本概况

样本基本信息

MD5：304bbe0e401d84edf63b68588335ceb6
SHA-1：8389fb0466449755c9c33716ef6f9c3e0f4e19c8
SHA-256：1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb File size：52.50 KB (53760 bytes)

测试环境及工具

测试环境：Windows 7

测试工具：PEID、StudyPE、IDA Pro、x32dbg、火绒剑

沙箱检测

从上面的沙箱检测结果，初步可以得到的信息：

该病毒启动具有隐藏界面的cmd窗口，将自身拷贝到其他目录，修改网络代理设置，连接了三个域名等操作。

样本分析

主要流程概述

第一次运行样本后会创建系统服务、添加注册表的键值，根据系统时间随机生成一个名字的文件，将母体拷贝到该文件并释放到C:/Windows路径下，给新生成的子文件icykmk.exe添加服务的自启动项，结束母体并删除。

之后运行icykmk.exe，首先加载hra33.dll然后创建4个线程。

加载的hra33.dll首先遍历文件，判断是否存在.exe，如果存在，就继续递归寻找下一个；否则，就在同路径下创建lpk.dll；然后判断是否存在.rar或者.zip，如果存在，就继续递归寻找下一个，如果不存在就往压缩包添加lpk.dll。

线程1：通过弱口令感染局域网内的共享文件夹，将病毒释放到共享文件夹中。
线程2：连接到控制端sbcq.f3322.org，获取当前系统信息（CPU型号，系统版本，上线时间，内存信息等）发送给病毒作者，然后就循环等待病毒作者的指令接收，判断info的类型，做出相应的操作。
线程3：连接控制端www.520123.xyz。具体功能同线程2。
线程4：连接控制端www.520520520.org:9426。具体功能同线程2。

流程图如下：

样本动作捕捉

运行样本，火绒剑捕捉样本行为动作：

设置注册表项：

创建进程操作：

文件增删查改操作：

网络收包发包操作：

下面是随机生成名字的子程序进程和har33.dll：

具体行为分析

查壳

首先，查壳，病毒upx加壳，手动esp定律或者upx -d脱壳后PEID看到病毒是由Microsoft Visual C++ 6.0编写。

studyPE查看导入表：

初次运行初始化服务

IDA Pro7.5载入样本文件，进入WinMain函数：

WinMain函数中是网络相关的函数,判断服务及注册表是否存在，并且母体病毒开始初始化。

sub_405A52()函数内部就是判断键值是否存在。就是判断是否创建了一个名为”Ghijkl Nopqrstu Wxy“的服务，如果创建了，就返回1，执行if当中的操作；如果没有创建，那么执行else当中的操作，创建服务。简言之，就是判断样本是否第一次运行。

下面分析else当中的sub_405B6E()：

1、在ADVAPI32.dll中加载函数，遍历文件。

2、根据时间随机生成数作为文件名进行拼接，然后拷贝到C:Windows目录下。

3、创建服务。

4、添加注册表项。

然后分析下面的sub_40355B()：

上面的伪代码可以看到：母体通过字符串拼接执行cmd命令删除自身，设置高优先级。

以上代码，程序第一次运行，将自己拷贝到指定系统目录，创建服务，启动服务，删除自身。

若服务已被创建，则通过判断，第二次打开程序则直接打开服务。调用sub_40561A()。

再次运行sub_40561A()主函数

会先判断键值是否存在，如果存在的话就开启服务，进入服务回调继续分析。

sub_40561A()主函数内容如下：

作为新程序的主程序，之前先做了服务初始化操作，主要分析下面的函数。

sub_4053A6()函数主要作用的就是加载dll。
在sub_4053A6()函数中，检查注册表，打开hra33.dll，拷贝2个资源到hra33.dll。大致如下：

释放资源：

sub_4034E5()函数加载hra33.dll，该dll具有dll劫持功能。

下面分析一下创建的四个线程当中的具体操作。

初始化一堆字符串，根据下面获取主机名以及网络连接的函数，IPC内置的一些弱口令。

弱口令攻击：

线程1的作用就是：通过弱口令感染局域网其他主机， 如果连接成功通过，通过共享目录将病毒传播出去， 利用 at 定时执行启动任务， 通过 admin$共享传播病毒。

第二、三、四线程功能基本相同，区别是连接的地址不同。

就拿线程2来说：

该线程首先与sbcq.f3322.org控制端进行网络连接，如果连接成功继续往下，不然就返回。然后初始化socket套接字。

sub_4060F0()函数当中获取了一些系统内存cpu等信息，

之后又加载了hra33.dll，将收集到的系统相关信息发送到控制端，等待接收控制端发来的指令，当接收的数据>6时才开始进行swtich…case中进行匹配。

指令 > 6时：

当指令为0x10时，会从网络上下载恶意代码到临时的文件然后执行它。

当指令为0x12：
打开互斥体，防止多开带来的检测风险。根据系统时间随机生成文件名，初始化一些信息，设置优先级，更新病毒，如果下载成功就删除服务，注册表以及自身的程序。执行新的程序，退出本身。

当指令为0x14：
打开IE浏览器并弹框。

当指令 < 0x6时：
指令等于0x6：
和0x12执行一致，打开互斥体，防止多开带来的检测风险。根据系统时间随机生成文件名，初始化一些信息，设置优先级，更新病毒，如果下载成功就删除服务，注册表以及自身的程序。执行新的程序，退出本身。

当指令为0x2：

进行初始化socket

当指令为0x3：

sub_403280函数，里面仍然会做一些判断，继续分析各个函数，会发现这是一个发包的函数。

GET数据请求头：

GET请求数据包：

指令为0x4：
仍旧是初始化socket。

至此线程2分析结束。

总结一下，它获取系统信息，cpu信息，内存信息，将这些信息发往控制端，通过控制端发来的指令类型执行不同的操作。

第二个远程连接服务器地址sbcq.f3322.org

第三个远程连接服务器地址www.520123.xyz

第四个远程连接服务器地址被加密，"1NTUHRYRExYRExYREx3c0eQJChcRFUM="，解密后是www.520520520.org:9426

接着来分析分析劫持lpk.dll的hra33.dll。

Dllmain函数中分析，获取模块名字后判断病毒文件是否存在，如果存在，就在同目录下将内存数据写入到.TMP临时文件，并创建一个胡互斥体，检测同目录下是否存在lpk.dll，如果存在，加载lpk.dll到zip，rar文件，并且同目录下创建exe。如果没有被加载就释放dll文件。之后获取原lpk.dll，将其替换为自己的lpk.dll，实现lpk劫持。

sub_1000142B()当中是添加压缩包的操作：

利用rar的shell命令进行操作，先检查同路径有没有lpk.dll，如果没有，就以最大速度解压文件，将lpk.dll添加到文件夹中，然后再重新压缩文件，最后删除临时文件。

以上，就是hra33.dll当中的操作。

总结

手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、使用PcHumter结束病毒程序

2、删除HKEY_LOCAL_MACHINEsystemCurrentControlsetservicesGhijkl Nopqrstu Wxy下注册表键；

3、结束服务：Ghijkl Nopqrstu Wxy，删除服务对应的exe文件。

4、删除C:windowssystem32hra33.dll文件；

5、删除生成的lpk.dll文件。

来源：先知(https://xz.aliyun.com/t/10574#toc-3)

注：如有侵权请联系删除

船山院士网络安全团队长期招募学员，零基础上课，终生学习，知识更新，学习不停！包就业，护网，实习，加入团队，外包项目等机会，月薪10K起步，互相信任是前提，一起努力是必须，成就高薪是目标！相信我们的努力你可以看到！想学习的学员，加下面小浪队长的微信咨询！

欢迎大家加群一起讨论学习和交流
（此群已满200人，需要添加群主邀请）

阳光正好，奋力奔跑；

拼搏当下，未来可期！

原文始发于微信公众号（衡阳信安）：记一次lpk劫持样本分析