[successbox title="摘要"]中午吃饱饭没事干,来一波分析。[/successbox]
我也不知道这个病毒怎么就突然出现在人们眼前了,总而言之现在我来分析一波。

  1. 搞到样本

QQ截图20161110130934说搞到就搞到了。

好多文件,主要看loli.bat。

QQ截图20161110131100

QQ截图20161110131355

简单的ASCII码加密。。。生成loli.vbs到c盘

f011c65c103853437d1ba2e99b13b07ec88088d9

借图一用啦~这个玩意

50f1d1c8a786c917a2e775f1c13d70cf39c757c9

又下载了一个loli.bat...汗

编码加密了..解密之得

QQ截图20161110132356

又下载了一个loli.exe...改名为install.exe了

QQ截图20161110132612

花指令??

运行抓包

QQ截图20161110135623

抓到这个

QQ截图20161110135735

目录权限没有设置好啊..打包回去看

QQ截图20161110141230

略去一些无关紧要的..我们直接看它访问的a.txt,发现啥也不是!

b.txt是一个打不开的程序...

至此,我还是搞不懂这是干啥的...

吃饭去了...

2016年11月11日11:52:41 更新

QQ截图20161111115214

a.exe的确不是一个可执行程序。那么这是啥呢?...

QQ截图20161111115401

而b.txt就是实打实的一个程序了..但是根据这个行为来看的话,姑且也不是什么病毒啊?

[warningbox title="install.exe的检测报告"]

文件名称:install.exe

MD5:671eaf4025c3322c2098e8d5d2d947a4

文件大小:685KB

创建日期:2016-11-05 08:08:39

基本信息
  • 文件名称:install.exe
  • MD5:671eaf4025c3322c2098e8d5d2d947a4
  • Sha-1:aec8bdc7dcee2e967716609a3ddd6f0a58a42a18
  • 文件大小:685KB
  • 创建时间:2016-11-05 08:08:39
  • 文件类型:EXE
火眼点评

      IE 代理服务器设置;下载文件;拷贝自身到其他目录;查找文件;创建互斥体;添加延迟重命名项,通常用于重启后删除文件;检测是否存在指定注册表键

其他行为监控
  • 行为描述:IE 代理服务器设置

    附加信息:

    关闭IE代理服务

  • 行为描述:下载文件

    附加信息:

    www.loxve.com/app/War3_UnHack/client.txt

  • 行为描述:拷贝自身到其他目录

    附加信息:

    %temp%\_@17.tmp

    %temp%\_@17.tmp

  • 行为描述:检测是否存在指定注册表键

    附加信息:

    HKEY_CURRENT_USER\Software\Blizzard Entertainment\Internal

    HKEY_LOCAL_MACHINE\Software\Blizzard Entertainment\Internal

  • 行为描述:添加延迟重命名项,通常用于重启后删除文件

    附加信息:

    \??\%temp%\_@17.tmp

  • 行为描述:创建互斥体

    附加信息:

    "GdiplusFontCacheFileV1"

  • 行为描述:查找文件

    附加信息:

    "%temp%\Temporary Internet Files\*.*"

文件操作监控
操作 文件MD5 文件大小 文件路径
新增 988ae67ff90003e5c64e69f866bbb2d7 368702 %temp%\\Storm.dll
新增 75f43dbd9c73d2f21fb2938c90959240 78336 %temp%\\SFmpq.dll
新增 671eaf4025c3322c2098e8d5d2d947a4 700928 %temp%\\_@17.tmp
新增 880175dc0d2b8057142153b521aafb49 20456 %USERPROFILE%\Local Settings\Appli...
  • 新增
  • 删除
  • 修改

注册表监控

  • HKEY_CURRENT_USER\\Software\Microsoft\GDIPlus
    [FontCachePath] = [%USERPROFILE%\Local Settings\Application Data]
  • HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Session Manager
    [PendingFileRenameOperations] = [\??\%temp%\_@17.tmp]
  • HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Session Manager
    [PendingFileRenameOperations] = [\??\%temp%\_@17.tmp]
网络监控
  • 网络操作
    [HTTP Request]GET www.loxve.com/app/War3_UnHack/client.txt
    [Open URL]www.loxve.com

[/warningbox]

顺带附上install.exe的报告。有点可疑。

 

以下是b.exe的检测报告

VirSCAN.org Scanned Report :
Scanned time : 2016-11-11 12:00:15
Scanner results: 30%的杀软(12/39)报告发现病毒
File Name : b.exe
File Size : 161280 byte
File Type : application/x-dosexec
MD5 : d592b129dd13facce9d3f7c3aa02d28d
SHA1 : 58f2e3c79376dec55d5830475ac4476ab165b221
Online report : http://r.virscan.org/report/6dab7a28f79672c9da8ec3c76bf2d022

Scanner Engine Ver Sig Ver Sig Date Time Scan result
ANTIVIR 1.9.2.0 1.9.159.0 7.12.132.202 56 引擎扫描超时
AVAST! 161110-0 4.7.4 2016-11-10 18 没有发现病毒
AVG 2109/12869 10.0.1405 2016-11-08 1 没有发现病毒
ArcaVir 1.0 2011 2014-05-30 27 没有发现病毒
Authentium 4.6.5 5.3.14 2013-12-01 2 没有发现病毒
Baidu Antivirus2.0.1.0 4.1.3.52192 2.0.1.0 34 Trojan.Crypt.Heur.gen
Bitdefender 7.58879 7.90123 2015-01-16 1 没有发现病毒
ClamAV 22399 0.97.5 2016-10-20 56 引擎扫描超时
Comodo 15023 5.1 2016-11-10 3 Packed.Win32.MUPX.Gen
Dr.Web 5.0.2.3300 5.0.1.1 2016-11-11 58 引擎超时4
F-PROT 4.6.2.117 6.5.1.5418 2016-02-05 3 W32/Felix:CO:VC!Eldorado
F-Secure 2015-08-01-02 9.13 2015-08-01 17 没有发现病毒
Fortinet 40.554, 40.554,5.4.233 2016-11-09 1 没有发现病毒
GData 25.8610 25.8610 2016-10-12 13 没有发现病毒
IKARUS 1.06.01 V1.32.31.0 2016-11-08 49 Backdoor.Win32.Hupigon
NOD32 1777 3.0.21 2015-06-12 1 没有发现病毒
QQ手机 1.0.0.0 1.0.0.0 2015-12-30 1 没有发现病毒
Quickheal 14.00 14.00 2016-11-10 2 Suspicious
SOPHOS 5.32 3.65.2 2016-10-10 40 Mal/HckPk-A
Sunbelt 3.9.2671.2 3.9.2671.2 2016-10-05 2 没有发现病毒
TheHacker 6.8.0.5 6.8.0.5 2016-11-08 1 没有发现病毒
Vba32 3.12.29.3 beta 3.12.29.3 beta 2016-11-08 16 没有发现病毒
ViRobot 2.73 2.73 2015-01-30 1 没有发现病毒
VirusBuster 15.0.985.0 5.5.2.13 2014-12-05 55 没有发现病毒
a-squared 9.0.0.4799 9.0.0.4799 2015-03-08 1 没有发现病毒
nProtect 9.9.9 9.9.9 2013-12-27 3 没有发现病毒
卡巴斯基 5.5.33 5.5.33 2014-04-01 56 引擎扫描超时
奇虎360 1.0.1 1.0.1 1.0.1 6 HEUR/QVM11.1.0C45.Malware.Gen
安博士V3 9.9.9 9.9.9 2013-05-28 5 没有发现病毒
安天 AVL SDK 2.0 1970-01-01 3 没有发现病毒
江民杀毒 16.0.100 1.0.0.0 2016-11-10 2 Backdoor/Hupigon.apwx
熊猫卫士 9.05.01 9.05.01 2016-11-10 7 没有发现病毒
瑞星 26.28.00.01 26.28.00.01 2016-07-18 5 没有发现病毒
百度杀毒 1.0 1.0 2014-04-02 1 Win32.Trojan.Patched.jwq
费尔 17.47.17308 1.0.2.2108 2016-11-10 6 Suspicious:Backdoor.Hupigon.bf
赛门铁克 20151230.005 1.3.0.24 2015-12-30 1 没有发现病毒
趋势科技 12.886.07 9.500-1005 2016-11-08 4 没有发现病毒
迈克菲 8254 5400.1158 2016-08-11 30 Generic Malware.bj
金山毒霸 2.1 2.1 2013-09-22 4 Win32.Heur.KVM008.a.(kcloud)

 

可以看到侧重点在后门/恶意软件这里,虽然检出率蛮高,估计问题也不大。

综上:这玩意大概只是在你的电脑释放了几个无用的调用下载的程序,甚至连启动项都没有添加,应该只是一个玩笑程序,不算的什么病毒。

 

参考文章:

  1. 【分析】loli.bat_病毒吧_百度贴吧  http://tieba.baidu.com/p/4849562444
  2. 火眼--结果分析--install.exe  http://fireeye.ijinshan.com/analyse.html?md5=671eaf4025c3322c2098e8d5d2d947a4&sha1=aec8bdc7dcee2e967716609a3ddd6f0a58a42a18&type=1
  3. 火眼--结果分析--a (1).exe  http://fireeye.ijinshan.com/analyse.html?md5=436306ae297bfc6ace3810b49b45f00a&sha1=e2e5fa1af32c070210c2175b1892205293a35269&type=1
  4. 火眼--结果分析--b.exe  http://fireeye.ijinshan.com/analyse.html?md5=d592b129dd13facce9d3f7c3aa02d28d&sha1=58f2e3c79376dec55d5830475ac4476ab165b221&type=1
  5. b.exe MD5:d592b129dd13facce9d3f7c3aa02d28d 30% 的杀软(12/39) 报告发现病毒 - VirSCAN.org-多引擎在线病毒扫描网 v1.02,当前支持 39 款杀毒引擎  http://r.virscan.org/report/6dab7a28f79672c9da8ec3c76bf2d022
  6. loli virus test.zip_免费高速下载|百度网盘-分享无限制 密码: uiy7  http://pan.baidu.com/s/1o896myY