10月17, 2014

Worm.Magistr.hp病毒分析(一)

MD5:3ccdb37754d7c8a011c84edd078bac9a

病毒名称 : Worm.Magistr.hp

病毒的族系:马吉斯病毒的变种

特点:带有 hp官方签名,7z 打包过的 exe ,属于感染性的蠕虫。

2728c4db57ae91b8a97523ab504ae964

该蠕虫释放的文件

Image

主要行为:

启动病毒主程序 hpzfwu01.exe

检测 %SystemRoot%Windows linkinfo.dll 是否存在,不存在则创建 linkinfo.dll

加载 linkinfo.dll,获取SfcIsFileProtected 用于检测是不是系统文件,后面用到避免病毒感染系统文件。

检测病毒是否在 explorer.exe这个进程中,如果在explorer中则启动病毒主线程,如果不在继续

检测 %SystemRoot%\system32\drivers\IsDrv122.sys 驱动是否存在,不存在则创建 IsDrv122.Sys

加载 ZwSetSystemInformation加载驱动IsDrv122.Sys, 然后删除驱动文件 IsDrv122.Sys。

使用 APC注入把病毒注入explorer,此时病毒在 explorer中,然后启动病毒主线程。

检测病毒是否在虚拟机内,如果在虚拟机内在调用 NtShutdownSystem关闭虚拟机。

病毒主程序创建互斥体 :PNP#DMUTEX1#DLU,防止程序重复执行

43ge

然后创建四个病毒线程开始工作

Imag2e

病毒线程 0:

新建一个隐藏的窗体监控是否有移动设备插入电脑,如果发现,感染移动设备中的 exe。

病毒线程 1:

感染自身系统的 exe,但是不感染系统文件夹下面的文件,和 qq的文件,也不感染以下的文件,很多游戏程序是不感染的,可能是为以后下游戏木马做准备。

Ima65ge

病毒线程 2:

提升自身权限,利用之前加载的驱动程序,终止系统中的其他病毒进程,保持系统的稳定行。

终止以下进程,都是常见的病毒进程

Imag223e

病毒线程 3:

主要是枚举局域网内的共享文件夹,然后把病毒自身复制为到共享文件夹中 ,名称为setup.exe 。

然后利用 IPC$的弱口令扫描局域网中的机器,

使用弱口令如下:

Ima1221e

如果命中则继续感染这台机器。

病毒所用的 C&C服务器

Im123123age

用于病毒作者下达指令指挥中了病毒的僵尸,进行 DDOS攻击,或者盗号行为。先简单介绍一下大体功能,之后再做详细分析。

本文链接:http://blogs.360.cn/post/worm-magistr-hp病毒分析一.html

-- EOF --

Comments