快捷搜索:  汽车  科技
当前位置: 爱玩科技 > 健康 > 正文

英雄联盟爆破众星之子(熊孩子破坏者病毒)

长生 357

英雄联盟爆破众星之子(熊孩子破坏者病毒)0x02感染后主要特征:CRC32: 9896B2FF修改时间: 2016年2月4日 18:14:30MD5: 0173975B7984285E9B6C31CC85B5072FSHA1: 7E501816DC1C9B281AB6C4DDFADCE14E73BC504E

在某论坛闲逛时发现个样本挺好玩的,下载下来玩玩。

0x01样本信息:

大小: 779776 字节

文件版本: 1.0.0.0

修改时间: 2016年2月4日 18:14:30

MD5: 0173975B7984285E9B6C31CC85B5072F

SHA1: 7E501816DC1C9B281AB6C4DDFADCE14E73BC504E

CRC32: 9896B2FF

0x02感染后主要特征:

对比下任务管理器,发现所有用户进程全部被新建了个XXX加强版.exe

英雄联盟爆破众星之子(熊孩子破坏者病毒)(1)

英雄联盟爆破众星之子(熊孩子破坏者病毒)(2)

过了一小会,任务管理器被日。。。日了。。

英雄联盟爆破众星之子(熊孩子破坏者病毒)(3)

好吧,现在所有病毒都会想办法干掉任务管理器,人之常情。

释放自身到某进程存在的目录并更名为XXX加强版.exe

英雄联盟爆破众星之子(熊孩子破坏者病毒)(4)

开始简单的分析吧,查了下壳,SE2.3.2的壳

英雄联盟爆破众星之子(熊孩子破坏者病毒)(5)

OD跑了下证明了是这个壳

英雄联盟爆破众星之子(熊孩子破坏者病毒)(6)

瞬间不想搞了,脱壳时间比运行下还要慢,算了,主动运行分析吧。。

0x03病毒主要操作:

1.枚举当前进程并获取非系统级别的进程名,根据进程名创建文件【XXX加强版】到对应目录下。

2.注册表添加

HKEY_CURRENT_USER\\Software\Microsoft\GDIPlus

[FontCachePath] = [%USERPROFILE%\Local Settings\Application Data]

HKEY_CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[%ProgramFiles%\ksafe] = [%ProgramFiles%\ksafe\ksafetray加强版.exe]

[%system%] = [%system%\spoolsv加强版.exe]

[%ProgramFiles%\Tencent\地下城与勇士] = [%ProgramFiles%\Tencent\地下城与勇士\dnf加强版.exe]

[%ProgramFiles%\Tencent\QQ] = [%ProgramFiles%\Tencent\QQ\QQ加强版.exe]

[%ProgramFiles%\Tencent\CrossFire] = [%ProgramFiles%\Tencent\CrossFire\crossfire加强版.exe]

其中Run是开机自启动的。

3.尝试调用taskkill结束杀软进程【特指:360tray.exe、KSafeTray.exe】【PS:作者你是不是NC啊。。。360自保护你开玩笑用taskkill结束。。】

4.复制自身到其他目录(如果目录存在)

%ProgramFiles%\360Safe\360tray加强版.exe

%ProgramFiles%\360Safe\zhudongfangyu加强版.exe

%ProgramFiles%\LOL王者辅助加强版.exe

%ProgramFiles%\Tencent\CrossFire\crossfire加强版.exe

%ProgramFiles%\Tencent\QQ\QQ加强版.exe

%ProgramFiles%\Tencent\地下城与勇士\dnf加强版.exe

%ProgramFiles%\ksafe\ksafetray加强版.exe

%system%\alg加强版.exe

%system%\conime加强版.exe

%system%\ctfmon加强版.exe

%system%\lsass加强版.exe

%system%\services加强版.exe

%system%\smss加强版.exe

%system%\spoolsv加强版.exe

%system%\svchost加强版.exe

5.反调试【检测进程关键字:OllyDbg.exe】

6.覆盖掉原有的GDIPFONTCACHEV1.DAT【C:\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT】

7.枚举当前热门游戏进程,发现就结束,并且提示:你不小心打开了XXX【XXX为游戏名字】,现已帮你关闭

0x04解决方案:

1.由于病毒运行后的特征是对当前进程创建XXX加强版.exe,所以可以考虑用批处理批量结束带“加强版”这个关键字的进程,最好多结束几次防止其再次运行。

2.病毒【或者说恶作剧软件】没有反冰刃、XueTr这类驱动级进程管理器,所以我们可以用他们强制结束并删除XXX加强版.exe。

0x05小结:

病毒作者利用一些想靠辅助【外挂】类软件进行简单游戏的玩家心理,成功的感染了一大批玩家的计算机,不过还好这个病毒【恶作剧软件】并没有网络操作行为,否则将是一个僵尸集群,后果不堪设想。其采取的进程互相监督方式在近些年很少看到了。

本文作者:Sp4ce,转载自:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=8050&ctid=127

网站首页

返回栏目

猜您喜欢:

相关文章