1、樣本信息
文件名稱:803c617e665ff7e0318386e24df63038
文件大小:61KB
病毒名稱:DDoS/Nitol.A.1562
MD5:803c617e665ff7e0318386e24df63038
Sha⑴:e05277aafd161470b020e9e8d2aa2dcb9759328c
2、樣本行動
0x1.打開與當前病毒進程文件同名的信號互斥量,判斷信號互斥量是不是存在,避免病毒行動的2次履行。
0x2.通過注冊表"SOFTWAREJiangMin"和"SOFTWARE ising",判斷江民、瑞星殺毒軟件的是不是存在。
0x3.創建進程快照,判斷360的殺軟進程360sd.exe、360rp.exe是不是存在;如果存在,則結束360殺毒的進程360sd.exe和360rp.exe。
0x4.通過注冊表"SOFTWAREJiangMin"和"SOFTWARE ising",判斷江民、瑞星殺毒軟件是不是存在;如果江民、瑞星的殺軟存在,則創建線程在用戶桌面的右下角捏造360殺軟的彈窗界面迷惑用戶。
0x5.創建線程利用IPC入侵用戶的主機,種植木馬病毒。利用弱口令猜想用戶主機的用戶名和密碼,如果入侵成功則拷貝當前病毒進程文件到用戶主機系統中,然后運行病毒文件,創建病毒進程。
如果當前病毒進程IPC入侵用戶的局域網的主機系統成功,則拷貝當前病毒進程文件到用戶的主機系統中,然后運行病毒文件,創建病毒進程。
0x6.創建線程,在移動裝備盤中釋放病毒文件anturun.inf,進行病毒的傳播。
1.判斷遍歷的磁盤是不是是移動裝備盤,如果是移動裝備盤進行病毒文件anturun.inf的釋放和病毒的傳播。
2.判斷遍歷的移動裝備盤中是不是存在anturun.inf文件夾;如果存在,則將其改名為隨機字符組成的文件夾名稱;刪除原來正常的anturun.inf文件,創建病毒文件anturun.inf。
3.經過整理后,病毒創建的anturun.inf文件。
4.為病毒文件anturun.inf創建履行體病毒程序recycle.{645FF040⑸081⑴01B⑼F08-00AA002F954E}GHOSTBAK.exe即拷貝當前病毒文件,創建病毒文件recycle.{645FF040⑸081⑴01B⑼F08-00AA002F954E}GHOSTBAK.exe并設置該病毒文件的屬性為系統、隱藏屬性。
0x7.通過注冊表HKEY_LOCAL_MACHINESYSTEMCurrentContaRolsetServicesJklmno Qrstuvwx Abc判斷病毒服務"Jklmno Qrstuvwx Abc"是不是已存在。
0x8.如果病毒服務"Jklmno Qrstuvwx Abc"不存在,則創建病毒服務,然后啟動病毒服務。
1.判斷當前病毒進程是不是是運行在"C:WINDOWSsystem32"目錄下;如果不是,則拷貝當前病毒進程的文件,創建和釋放隨機字符組成名稱的病毒文件,如"C:WINDOWSsystem32tkkiwk.exe"到"C:WINDOWSsystem32"目錄下。
2.使用釋放到"C:WINDOWSsystem32"目錄下的病毒文件tkkiwk.exe創建病毒服務"Jklmno Qrstuvwx Abc";如果該病毒服務已存在并且打開病毒服務失敗,則刪除病毒服務、刪除病毒文件本身;如果病毒服務不存在,則啟動病毒服務"Jklmno Qrstuvwx Abc"。
3.如果病毒服務"Jklmno Qrstuvwx Abc"啟動成功,則將病毒服務的信息寫入注冊表"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices "Jklmno Qrstuvwx Abc"的鍵值對"Description"中。
0x9.如果病毒服務"Jklmno Qrstuvwx Abc"已存在,則啟動病毒服務。
1.為服務"Jklmno Qrstuvwx Abc"設置例程處理函數,用于控制服務的狀態。
2.設置創建的病毒服務的狀態,創建互斥信號量"Jklmno Qrstuvwx Abc"并初始化網絡套接字。
0x10.創建線程,主動向病毒作者服務器"zhifan1314.oicp.net"發起網絡連接,然后將用戶的電腦的信息如操作系統的版本信息、CPU硬件信息、系統內存等信息發送給遠程控制的病毒作者的服務器上。
1.主動向病毒作者服務器"zhifan1314.oicp.net"發起網絡連接。
2.獲得用戶的電腦信息如操作系統的版本信息、CPU硬件信息、系統內存等信息,將其發送到病毒作者的服務器網址"zhifan1314.oicp.net"上。
0x11.接受病毒作者的從遠程發送來的控制命令,解析遠程控制命令進行相干的控制操作,特別是創建很多的網絡僵尸線程,致使用戶的電腦和系統主機產生”謝絕服務”的行動。
1.控制命令1-"2",創建很多網絡連接操作的僵尸線程,IP地址為"zhifan1314.oicp.net"。
2.控制命令2-"3",創建閱讀器進程"C:windowssystem32Program FilesInternet Exploreriexplore.exe"并創建很多發送Http網絡要求的網絡僵尸線程,IP地址為"zhifan1314.oicp.net"。
3.控制命令3-"4",創建很多網絡操作的僵尸線程,IP地址為"zhifan1314.oicp.net"。
4.控制命令4-"6",通過互斥信號量"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判斷病毒行動是不是已履行;如果已履行,則刪除病毒服務"Jklmno Qrstuvwx Abc"并刪除病毒服務創建的注冊表"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices "Jklmno Qrstuvwx Abc"。
5.控制命令5-"16"、"17",從指定網址下載病毒文件到系統臨時文件目錄下,然后運行病毒文件,創建病毒進程。
6.控制命令6-"18",如果互斥信號量"Jklmno Qrstuvwx Abc"已存在,則釋放信號互斥量"Jklmno Qrstuvwx Abc";從指定網址下載病毒文件到系統臨時文件目錄下,然后運行病毒文件,創建病毒進程;如果病毒服務"Jklmno Qrstuvwx Abc"已存在,則刪除病毒服務"Jklmno Qrstuvwx Abc",結束當前進程。
7.控制命令6-"19",為當前病毒進程,運行iexplore.exe程序,創建IE進程。
8.控制命令6-"20",為桌面窗口,創建iexplore.exe進程。
0x12.死循環,創建無窮的線程-用以創建網絡僵尸線程和接受病毒作者的遠程控制,具體的行動上面已分析的很詳細了(不重復),只不過這次病毒進程主動連接的病毒作者的服務器IP 地址是104.107.207.189:8749。
病毒行動總結-文字版:
0x1.打開與當前病毒進程文件同名的信號互斥量,判斷信號互斥量是不是存在,避免病毒行動的2次履行。
0x2.通過注冊表"SOFTWAREJiangMin"和"SOFTWARE ising",判斷江民、瑞星殺毒軟件的是不是存在。
0x3.創建進程快照,判斷360的殺軟進程360sd.exe、360rp.exe是不是存在;如果存在,則結束360殺毒的進程360sd.exe和360rp.exe。
0x4.通過注冊表"SOFTWAREJiangMin"和"SOFTWARE ising",判斷江民、瑞星殺毒軟件是不是存在;如果江民、瑞星的殺軟存在,則創建線程在用戶桌面的右下角捏造360殺軟的彈窗界面迷惑用戶。
0x5.創建線程利用IPC入侵用戶的主機,種植木馬病毒。利用弱口令猜想用戶主機的用戶名和密碼,如果入侵成功則拷貝當前病毒進程文件到用戶主機系統中,然后運行病毒文件,創建病毒進程。
0x6.創建線程,在移動裝備盤中釋放病毒文件anturun.inf,進行病毒的傳播。
1.判斷遍歷的磁盤是不是是移動裝備盤,如果是移動裝備盤進行病毒文件anturun.inf的釋放和病毒的傳播。
2.判斷遍歷的移動裝備盤中是不是存在anturun.inf文件夾;如果存在,則將其改名為隨機字符組成的文件夾名稱;刪除原來正常的anturun.inf文件,創建病毒文件anturun.inf。
3.為病毒文件anturun.inf創建履行體病毒程序recycle.{645FF040⑸081⑴01B⑼F08-00AA002F954E}GHOSTBAK.exe即拷貝當前病毒文件,創建病毒文件recycle.{645FF040⑸081⑴01B⑼F08-00AA002F954E}GHOSTBAK.exe并設置該病毒文件的屬性為系統、隱藏屬性。
0x7.通過注冊表HKEY_LOCAL_MACHINESYSTEMCurrentContaRolsetServicesJklmno Qrstuvwx Abc判斷病毒服務"Jklmno Qrstuvwx Abc"是不是已存在。
0x8.如果病毒服務"Jklmno Qrstuvwx Abc"不存在,則創建病毒服務,然后啟動病毒服務。
1.判斷當前病毒進程是不是是運行在"C:WINDOWSsystem32"目錄下;如果不是,則拷貝當前病毒進程的文件,創建和釋放隨機字符組成名稱的病毒文件,如"C:WINDOWSsystem32tkkiwk.exe"到"C:WINDOWSsystem32"目錄下。
2.使用釋放到"C:WINDOWSsystem32"目錄下的病毒文件tkkiwk.exe創建病毒服務"Jklmno Qrstuvwx Abc";如果該病毒服務已存在并且打開病毒服務失敗,則刪除病毒服務、刪除病毒文件本身;如果病毒服務不存在,則啟動病毒服務"Jklmno Qrstuvwx Abc"
3.如果病毒服務"Jklmno Qrstuvwx Abc"啟動成功,則將病毒服務的信息寫入注冊表"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices "Jklmno Qrstuvwx Abc"的鍵值對"Description"中。
0x9.如果病毒服務"Jklmno Qrstuvwx Abc"已存在,則啟動病毒服務。
1.為服務"Jklmno Qrstuvwx Abc"設置例程處理函數,用于控制服務的狀態。
2.設置創建的病毒服務的狀態,創建互斥信號量"Jklmno Qrstuvwx Abc"并初始化網絡套接字。
0x10.創建線程,主動向病毒作者服務器"zhifan1314.oicp.net"發起網絡連接,然后將用戶的電腦的信息如操作系統的版本信息、CPU硬件信息、系統內存等信息發送給遠程控制的病毒作者的服務器上。
1.主動向病毒作者服務器"zhifan1314.oicp.net"發起網絡連接。
2.獲得用戶的電腦信息如操作系統的版本信息、CPU硬件信息、系統內存等信息,將其發送到病毒作者的服務器網址"zhifan1314.oicp.net"上。
0x11.接受病毒作者的從遠程發送來的控制命令,解析遠程控制命令進行相干的控制操作,特別是創建很多的網絡僵尸線程,致使用戶的電腦和系統主機產生”謝絕服務”的行動。
1.控制命令1-"2",創建很多網絡連接操作的僵尸線程,IP地址為"zhifan1314.oicp.net"。
2.控制命令2-"3",創建閱讀器進程"C:windowssystem32Program FilesInternet Exploreriexplore.exe"并創建很多發送Http網絡要求的網絡僵尸線程,IP地址為"zhifan1314.oicp.net"。
3.控制命令3-"4",創建很多網絡操作的僵尸線程,IP地址為"zhifan1314.oicp.net"。
4.控制命令4-"6",通過互斥信號"LRscKSQhdHZ0d2EiHCYzYSEoN21rendsQw=="判斷病毒行動是不是已履行;如果已履行,則刪除病毒服務"Jklmno Qrstuvwx Abc"并刪除病毒服務創建的注冊表"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices "Jklmno Qrstuvwx Abc"。
5.控制命令5-"16"、"17",從指定網址下載病毒文件到系統臨時文件目錄下,然后運行病毒文件,創建病毒進程。
6.控制命令6-"18",如果互斥信號量"Jklmno Qrstuvwx Abc"已存在,則釋放信號互斥量"Jklmno Qrstuvwx Abc";從指定網址下載病毒文件到系統臨時文件目錄下,然后運行病毒文件,創建病毒進程;如果病毒服務"Jklmno Qrstuvwx Abc"已存在,則刪除病毒服務"Jklmno Qrstuvwx Abc",結束當前進程。
7.控制命令6-"19",為當前病毒進程,運行iexplore.exe程序,創建IE進程。
8.控制命令6-"20",為桌面窗口,創建iexplore.exe進程。
0x12.死循環,創建無窮的線程-用以創建網絡僵尸線程和接受病毒作者的遠程控制,具體的行動上面已分析的很詳細了(不重復),只不過這次病毒進程主動連接的病毒作者的服務器IP 地址是104.107.207.189:8749。
程序員人生,我編程,我富裕,記住wfuyu網,php教程,php學習,php手冊,CMS模版制作
聲明:本站大部分內容是作者原創,少部分收集于互聯網供大家一起學習,原版權很多不明,如有侵權請聯系本站,謝謝!
粵ICP備14040726號-1?? 2015-2020 程序員人生 版權所有
