[successbox title="摘要"]中午吃饱饭没事干,来一波分析。[/successbox]
我也不知道这个病毒怎么就突然出现在人们眼前了,总而言之现在我来分析一波。
- 搞到样本
好多文件,主要看loli.bat。
简单的ASCII码加密。。。生成loli.vbs到c盘
借图一用啦~这个玩意
又下载了一个loli.bat...汗
编码加密了..解密之得
又下载了一个loli.exe...改名为install.exe了
花指令??
运行抓包
抓到这个
目录权限没有设置好啊..打包回去看
略去一些无关紧要的..我们直接看它访问的a.txt,发现啥也不是!
b.txt是一个打不开的程序...
至此,我还是搞不懂这是干啥的...
吃饭去了...
2016年11月11日11:52:41 更新
a.exe的确不是一个可执行程序。那么这是啥呢?...
而b.txt就是实打实的一个程序了..但是根据这个行为来看的话,姑且也不是什么病毒啊?
[warningbox title="install.exe的检测报告"]
文件名称:install.exe
MD5:671eaf4025c3322c2098e8d5d2d947a4
文件大小:685KB
创建日期:2016-11-05 08:08:39
- 文件名称:install.exe
- MD5:671eaf4025c3322c2098e8d5d2d947a4
- Sha-1:aec8bdc7dcee2e967716609a3ddd6f0a58a42a18
- 文件大小:685KB
- 创建时间:2016-11-05 08:08:39
- 文件类型:EXE
IE 代理服务器设置;下载文件;拷贝自身到其他目录;查找文件;创建互斥体;添加延迟重命名项,通常用于重启后删除文件;检测是否存在指定注册表键
-
行为描述:IE 代理服务器设置
附加信息:
关闭IE代理服务
-
行为描述:下载文件
附加信息:
www.loxve.com/app/War3_UnHack/client.txt
-
行为描述:拷贝自身到其他目录
附加信息:
%temp%\_@17.tmp
%temp%\_@17.tmp
-
行为描述:检测是否存在指定注册表键
附加信息:
HKEY_CURRENT_USER\Software\Blizzard Entertainment\Internal
HKEY_LOCAL_MACHINE\Software\Blizzard Entertainment\Internal
-
行为描述:添加延迟重命名项,通常用于重启后删除文件
附加信息:
\??\%temp%\_@17.tmp
-
行为描述:创建互斥体
附加信息:
"GdiplusFontCacheFileV1"
-
行为描述:查找文件
附加信息:
"%temp%\Temporary Internet Files\*.*"
操作 | 文件MD5 | 文件大小 | 文件路径 |
新增 | 988ae67ff90003e5c64e69f866bbb2d7 | 368702 | %temp%\\Storm.dll |
新增 | 75f43dbd9c73d2f21fb2938c90959240 | 78336 | %temp%\\SFmpq.dll |
新增 | 671eaf4025c3322c2098e8d5d2d947a4 | 700928 | %temp%\\_@17.tmp |
新增 | 880175dc0d2b8057142153b521aafb49 | 20456 | %USERPROFILE%\Local Settings\Appli... |
- 新增
- 删除
- 修改
注册表监控
- HKEY_CURRENT_USER\\Software\Microsoft\GDIPlus
[FontCachePath] = [%USERPROFILE%\Local Settings\Application Data]
- HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Session Manager
[PendingFileRenameOperations] = [\??\%temp%\_@17.tmp]
- HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Session Manager
[PendingFileRenameOperations] = [\??\%temp%\_@17.tmp]
- 网络操作
[HTTP Request]GET www.loxve.com/app/War3_UnHack/client.txt[Open URL]www.loxve.com
[/warningbox]
顺带附上install.exe的报告。有点可疑。
以下是b.exe的检测报告
VirSCAN.org Scanned Report :
Scanned time : 2016-11-11 12:00:15
Scanner results: 30%的杀软(12/39)报告发现病毒
File Name : b.exe
File Size : 161280 byte
File Type : application/x-dosexec
MD5 : d592b129dd13facce9d3f7c3aa02d28d
SHA1 : 58f2e3c79376dec55d5830475ac4476ab165b221
Online report : http://r.virscan.org/report/6dab7a28f79672c9da8ec3c76bf2d022
Scanner Engine Ver Sig Ver Sig Date Time Scan result
ANTIVIR 1.9.2.0 1.9.159.0 7.12.132.202 56 引擎扫描超时
AVAST! 161110-0 4.7.4 2016-11-10 18 没有发现病毒
AVG 2109/12869 10.0.1405 2016-11-08 1 没有发现病毒
ArcaVir 1.0 2011 2014-05-30 27 没有发现病毒
Authentium 4.6.5 5.3.14 2013-12-01 2 没有发现病毒
Baidu Antivirus2.0.1.0 4.1.3.52192 2.0.1.0 34 Trojan.Crypt.Heur.gen
Bitdefender 7.58879 7.90123 2015-01-16 1 没有发现病毒
ClamAV 22399 0.97.5 2016-10-20 56 引擎扫描超时
Comodo 15023 5.1 2016-11-10 3 Packed.Win32.MUPX.Gen
Dr.Web 5.0.2.3300 5.0.1.1 2016-11-11 58 引擎超时4
F-PROT 4.6.2.117 6.5.1.5418 2016-02-05 3 W32/Felix:CO:VC!Eldorado
F-Secure 2015-08-01-02 9.13 2015-08-01 17 没有发现病毒
Fortinet 40.554, 40.554,5.4.233 2016-11-09 1 没有发现病毒
GData 25.8610 25.8610 2016-10-12 13 没有发现病毒
IKARUS 1.06.01 V1.32.31.0 2016-11-08 49 Backdoor.Win32.Hupigon
NOD32 1777 3.0.21 2015-06-12 1 没有发现病毒
QQ手机 1.0.0.0 1.0.0.0 2015-12-30 1 没有发现病毒
Quickheal 14.00 14.00 2016-11-10 2 Suspicious
SOPHOS 5.32 3.65.2 2016-10-10 40 Mal/HckPk-A
Sunbelt 3.9.2671.2 3.9.2671.2 2016-10-05 2 没有发现病毒
TheHacker 6.8.0.5 6.8.0.5 2016-11-08 1 没有发现病毒
Vba32 3.12.29.3 beta 3.12.29.3 beta 2016-11-08 16 没有发现病毒
ViRobot 2.73 2.73 2015-01-30 1 没有发现病毒
VirusBuster 15.0.985.0 5.5.2.13 2014-12-05 55 没有发现病毒
a-squared 9.0.0.4799 9.0.0.4799 2015-03-08 1 没有发现病毒
nProtect 9.9.9 9.9.9 2013-12-27 3 没有发现病毒
卡巴斯基 5.5.33 5.5.33 2014-04-01 56 引擎扫描超时
奇虎360 1.0.1 1.0.1 1.0.1 6 HEUR/QVM11.1.0C45.Malware.Gen
安博士V3 9.9.9 9.9.9 2013-05-28 5 没有发现病毒
安天 AVL SDK 2.0 1970-01-01 3 没有发现病毒
江民杀毒 16.0.100 1.0.0.0 2016-11-10 2 Backdoor/Hupigon.apwx
熊猫卫士 9.05.01 9.05.01 2016-11-10 7 没有发现病毒
瑞星 26.28.00.01 26.28.00.01 2016-07-18 5 没有发现病毒
百度杀毒 1.0 1.0 2014-04-02 1 Win32.Trojan.Patched.jwq
费尔 17.47.17308 1.0.2.2108 2016-11-10 6 Suspicious:Backdoor.Hupigon.bf
赛门铁克 20151230.005 1.3.0.24 2015-12-30 1 没有发现病毒
趋势科技 12.886.07 9.500-1005 2016-11-08 4 没有发现病毒
迈克菲 8254 5400.1158 2016-08-11 30 Generic Malware.bj
金山毒霸 2.1 2.1 2013-09-22 4 Win32.Heur.KVM008.a.(kcloud)
可以看到侧重点在后门/恶意软件这里,虽然检出率蛮高,估计问题也不大。
综上:这玩意大概只是在你的电脑释放了几个无用的调用下载的程序,甚至连启动项都没有添加,应该只是一个玩笑程序,不算的什么病毒。
参考文章:
- 【分析】loli.bat_病毒吧_百度贴吧 http://tieba.baidu.com/p/4849562444
- 火眼--结果分析--install.exe http://fireeye.ijinshan.com/analyse.html?md5=671eaf4025c3322c2098e8d5d2d947a4&sha1=aec8bdc7dcee2e967716609a3ddd6f0a58a42a18&type=1
- 火眼--结果分析--a (1).exe http://fireeye.ijinshan.com/analyse.html?md5=436306ae297bfc6ace3810b49b45f00a&sha1=e2e5fa1af32c070210c2175b1892205293a35269&type=1
- 火眼--结果分析--b.exe http://fireeye.ijinshan.com/analyse.html?md5=d592b129dd13facce9d3f7c3aa02d28d&sha1=58f2e3c79376dec55d5830475ac4476ab165b221&type=1
- b.exe MD5:d592b129dd13facce9d3f7c3aa02d28d 30% 的杀软(12/39) 报告发现病毒 - VirSCAN.org-多引擎在线病毒扫描网 v1.02,当前支持 39 款杀毒引擎 http://r.virscan.org/report/6dab7a28f79672c9da8ec3c76bf2d022
- loli virus test.zip_免费高速下载|百度网盘-分享无限制 密码: uiy7 http://pan.baidu.com/s/1o896myY
参与讨论
(Participate in the discussion)
参与讨论
没有发现评论
暂无评论