在某论坛闲逛时发现个样本挺好玩的,下载下来玩玩。
0x01样本信息:文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
大小: 779776 字节文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
文件版本: 1.0.0.0文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
修改时间: 2016年2月4日, 18:14:30文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
MD5: 0173975B7984285E9B6C31CC85B5072F文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
SHA1: 7E501816DC1C9B281AB6C4DDFADCE14E73BC504E文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
CRC32: 9896B2FF文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
0x02沾染后主要特征:文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
对照下任务管理器,发现所有用户过程全体被新建了个XXX加强版.exe文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
过了一小会,任务管理器被日。。。日了。。文章源自微观生活(93wg.com)微观生活-https://93wg.com/12701.html
好吧,现在所有病毒都会想方法干掉任务管理器,人之常情。
释放本身到某过程存在的目录并更名为XXX加强版.exe
开始简单的分析吧,查了下壳,SE2.3.2的壳
OD跑了下证明了是这个壳
瞬间不想弄了,脱壳时间比运行下还要慢,算了,主动运行分析吧。。
0x03病毒主要操作:
1.枚举当前过程并获取非系统级别的过程名,依据过程名创立文件【XXX加强版】到对应目录下。
2.注册表添加
HKEY_CURRENT_USER\\\\Software\\Microsoft\\GDIPlus
[FontCachePath] = [%USERPROFILE%\\Local Settings\\Application Data]
HKEY_CURRENT_USER\\\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
[%ProgramFiles%\\ksafe] = [%ProgramFiles%\\ksafe\\ksafetray加强版.exe]
[%system%] = [%system%\\spoolsv加强版.exe]
[%ProgramFiles%\\Tencent\\地下城与壮士] = [%ProgramFiles%\\Tencent\\地下城与壮士\\dnf加强版.exe]
[%ProgramFiles%\\Tencent\\QQ] = [%ProgramFiles%\\Tencent\\QQ\\QQ加强版.exe]
[%ProgramFiles%\\Tencent\\CrossFire] = [%ProgramFiles%\\Tencent\\CrossFire\\crossfire加强版.exe]
其中Run是开机自启动的。
3.尝试调用taskkill收场杀软过程【特指:360tray.exe、KSafeTray.exe】【PS:
4.复制本身到其他目录(如果目录存在)
%ProgramFiles%\\360Safe\\360tray加强版.exe
%ProgramFiles%\\360Safe\\zhudongfangyu加强版.exe
%ProgramFiles%\\LOL王者辅助加强版.exe
%ProgramFiles%\\Tencent\\CrossFire\\crossfire加强版.exe
%ProgramFiles%\\Tencent\\QQ\\QQ加强版.exe
%ProgramFiles%\\Tencent\\地下城与壮士\\dnf加强版.exe
%ProgramFiles%\\ksafe\\ksafetray加强版.exe
%system%\\alg加强版.exe
%system%\\conime加强版.exe
%system%\\ctfmon加强版.exe
%system%\\lsass加强版.exe
%system%\\services加强版.exe
%system%\\smss加强版.exe
%system%\\spoolsv加强版.exe
%system%\\svchost加强版.exe
5.反调试【检测过程关键字:OllyDbg.exe】
6.覆盖掉原本的GDIPFONTCACHEV1.DAT【C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\GDIPFONTCACHEV1.DAT】
7.枚举当前热点游戏过程,发现就收场,并且提醒:你不谨慎打开了XXX【XXX为游戏名字】,现已帮你关闭
0x04解决方案:
1.因为病毒运行后的特征是对当前过程创立XXX加强版.exe,所以可以斟酌用批处理批量收场带“加强版”这个关键字的过程,最佳多收场几回避免其再次运行。
2.病毒【或者说恶作剧软件】没有反冰刃、XueTr这种驱动级过程管理器,所以咱们可以用他们强制收场并删除了XXX加强版.exe。
0x05小结:
病毒
以上就是微观生活(93wg.com)关于“熊孩子损坏者病毒【又名LOL王者辅助】的简单分析及处理”的详细内容,希望对大家有所帮助!
评论