熊孩子损坏者病毒【又名LOL王者辅助】的简单分析及处理

在某论坛闲逛时发现个样本挺好玩的，下载下来玩玩。

0x01样本信息:文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

大小: 779776 字节文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

文件版本: 1.0.0.0文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

修改时间: 2016年2月4日, 18:14:30文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

MD5: 0173975B7984285E9B6C31CC85B5072F文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

SHA1: 7E501816DC1C9B281AB6C4DDFADCE14E73BC504E文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

CRC32: 9896B2FF文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

0x02沾染后主要特征:文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

对照下任务管理器，发现所有用户过程全体被新建了个XXX加强版.exe文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

过了一小会，任务管理器被日。。。日了。。文章源自微观生活（93wg.com）微观生活-https://93wg.com/12701.html

好吧，现在所有病毒都会想方法干掉任务管理器，人之常情。

释放本身到某过程存在的目录并更名为XXX加强版.exe

开始简单的分析吧，查了下壳，SE2.3.2的壳

OD跑了下证明了是这个壳

瞬间不想弄了，脱壳时间比运行下还要慢，算了，主动运行分析吧。。

0x03病毒主要操作:

1.枚举当前过程并获取非系统级别的过程名，依据过程名创立文件【XXX加强版】到对应目录下。

2.注册表添加

HKEY_CURRENT_USER\\\\Software\\Microsoft\\GDIPlus

[FontCachePath] = [%USERPROFILE%\\Local Settings\\Application Data]

HKEY_CURRENT_USER\\\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

[%ProgramFiles%\\ksafe] = [%ProgramFiles%\\ksafe\\ksafetray加强版.exe]

[%system%] = [%system%\\spoolsv加强版.exe]

[%ProgramFiles%\\Tencent\\地下城与壮士] = [%ProgramFiles%\\Tencent\\地下城与壮士\\dnf加强版.exe]

[%ProgramFiles%\\Tencent\\QQ] = [%ProgramFiles%\\Tencent\\QQ\\QQ加强版.exe]

[%ProgramFiles%\\Tencent\\CrossFire] = [%ProgramFiles%\\Tencent\\CrossFire\\crossfire加强版.exe]

其中Run是开机自启动的。

3.尝试调用taskkill收场杀软过程【特指：360tray.exe、KSafeTray.exe】【PS：

4.复制本身到其他目录（如果目录存在）

%ProgramFiles%\\360Safe\\360tray加强版.exe

%ProgramFiles%\\360Safe\\zhudongfangyu加强版.exe

%ProgramFiles%\\LOL王者辅助加强版.exe

%ProgramFiles%\\Tencent\\CrossFire\\crossfire加强版.exe

%ProgramFiles%\\Tencent\\QQ\\QQ加强版.exe

%ProgramFiles%\\Tencent\\地下城与壮士\\dnf加强版.exe

%ProgramFiles%\\ksafe\\ksafetray加强版.exe

%system%\\alg加强版.exe

%system%\\conime加强版.exe

%system%\\ctfmon加强版.exe

%system%\\lsass加强版.exe

%system%\\services加强版.exe

%system%\\smss加强版.exe

%system%\\spoolsv加强版.exe

%system%\\svchost加强版.exe

5.反调试【检测过程关键字：OllyDbg.exe】

6.覆盖掉原本的GDIPFONTCACHEV1.DAT【C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\GDIPFONTCACHEV1.DAT】

7.枚举当前热点游戏过程，发现就收场，并且提醒：你不谨慎打开了XXX【XXX为游戏名字】，现已帮你关闭

0x04解决方案：

1.因为病毒运行后的特征是对当前过程创立XXX加强版.exe，所以可以斟酌用批处理批量收场带“加强版”这个关键字的过程，最佳多收场几回避免其再次运行。

2.病毒【或者说恶作剧软件】没有反冰刃、XueTr这种驱动级过程管理器，所以咱们可以用他们强制收场并删除了XXX加强版.exe。

0x05小结：

病毒

以上就是微观生活（93wg.com）关于“熊孩子损坏者病毒【又名LOL王者辅助】的简单分析及处理”的详细内容，希望对大家有所帮助！