1样本概况

病毒名称为3601.exe，运行后无窗口。采用UPX加壳，编写语言为Microsoft Visual C++ 6.0 。

1.1样本信息

病毒名称：3601.exe

所属家族：

MD5值：a5e4519f7cbb6e7efcff5474bb9179e0

SHA1值：E749452E3FDCE42A02313D9D2217405518127C2C

CRC32：1BC7519E

病毒行为：

创建指定网络连接泄露系统信息、删除自身复制自己到c:\windows目录文件名、在有exe文件的目录或者压缩包（rar、zip）下创建lpk.dll文件。

1.2测试环境及工具

环境：WIN732位SP1   

工具：OD、IDA、PCHunter

2.具体行为分析

2.1主要行为

创建一个新的服务

                                               

连接3个指定的网址

sbcq.f3322.org

www.520123.xyz

www.520520520.org

在有exe文件的目录或者压缩包中释放lpk.exe

 

 

2.2 恶意代码分析

病毒运行会先进行一个注册表键值判断。首次运行病毒返回值为2，windows系统错误，找不到文件。

是判断该项目是否有值防止重复操作

 

判断当前运行程序是否在系统目录

 

如果不在系统目录 生成随机名字，并将自身赋值到C:\windows目录下

 

创建并启动一个名称为"Ghijkl Nopqrstu Wxy"的服务

中间设置服务略过。

 

打开注册表键值,设置服务描述为"Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst"

 

 

调用CMD命令 DEL 删除自己

 

 

下面看看释放到c:\windows目录下的文件又做了什么

 

 

通过查询"SYSTEM\CurrentControlSet\Services\Ghijkl Nopqrstu Wxy" 键值进行判断如果不成功，创建服务。

 

 

下面进入服务回调函数，大体行为如下

 

第一个线程是IPC攻击

IPC内置了一些弱口令

 

如果连接成功通过，想复制病毒到目标主机，然后通过AT命令执行计划任务，启动病毒

 

 

 

 

第二、三、四线程功能基本同区别是创建的sock连接地址不同。

sbcq.f3322.org

www.520123.xyz

www.520520520.org

 

 

 

连接指定IP地址

 

 

发送一个字符  第二个参数套接字类型，第三个参数 SO_KEEPALIVE 保持连接继续存在

 

 

 

将获取到的系统信息发送给指定控制端，

、

 

等待控制指令

 

 

大致判断下 几个CASE 里面都做了什么

 

下载指定连接的文件保存在本地，文件名称根据GetTickCount（）返回值生成，文件路径文当前文件所在路径

 

从这一些列行为可以判断，这是更新病毒。

 

调用IE打开指定网址

 

调用HTTP GET请求发送数据包

 

下面分析hra33.dll功能

主要逻辑如下

判断是否是临时文件

判断是否已经运行

加载资源创建进程

感染EXE文件主要代码

感染压缩包文件主要代码

 

 

 

 

 

 

2． 解决方案(或总结)

该病毒应该为感染型的蠕虫病毒，利用了一些IPC贡献弱口令的缺陷，可以在局域网中传播。可能下载其他病毒或者木马程序，对用户危害极大。

3.1 提取病毒的特征，利用杀毒软件查杀

MD5: B5752252B34A8AF470DB1830CC48504D

SHA1: AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18

特征字符串：sbcq.f3322.org、www.520123.xyz、Ghijkl Nopqrstu Wxy

编写yara规则，扫描

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1．结束服务：Ghijkl Nopqrstu Wxy，删除服务对应的exe文件。

2．删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ Ghijkl Nopqrstu Wxy下面的所有键值。

3．删除C:\windows\system32\hra33.dll

4．删除除开C:\WINDOWS\system32和C:WINDOWS\system\dllcache这二个目录下的lpk.dll文件

样本地址 ：http://download.****.net/detail/c_cold1988/9853528