MD5:3ccdb37754d7c8a011c84edd078bac9a
病毒名称 : Worm.Magistr.hp
病毒的族系:马吉斯病毒的变种
特点:带有 hp官方签名,7z 打包过的 exe ,属于感染性的蠕虫。
该蠕虫释放的文件
主要行为:
启动病毒主程序 hpzfwu01.exe
检测 %SystemRoot%Windows linkinfo.dll 是否存在,不存在则创建 linkinfo.dll
加载 linkinfo.dll,获取SfcIsFileProtected 用于检测是不是系统文件,后面用到避免病毒感染系统文件。
检测病毒是否在 explorer.exe这个进程中,如果在explorer中则启动病毒主线程,如果不在继续
检测 %SystemRoot%\system32\drivers\IsDrv122.sys 驱动是否存在,不存在则创建 IsDrv122.Sys
加载 ZwSetSystemInformation加载驱动IsDrv122.Sys, 然后删除驱动文件 IsDrv122.Sys。
使用 APC注入把病毒注入explorer,此时病毒在 explorer中,然后启动病毒主线程。
检测病毒是否在虚拟机内,如果在虚拟机内在调用 NtShutdownSystem关闭虚拟机。
病毒主程序创建互斥体 :PNP#DMUTEX1#DLU,防止程序重复执行
然后创建四个病毒线程开始工作
病毒线程 0:
新建一个隐藏的窗体监控是否有移动设备插入电脑,如果发现,感染移动设备中的 exe。
病毒线程 1:
感染自身系统的 exe,但是不感染系统文件夹下面的文件,和 qq的文件,也不感染以下的文件,很多游戏程序是不感染的,可能是为以后下游戏木马做准备。
病毒线程 2:
提升自身权限,利用之前加载的驱动程序,终止系统中的其他病毒进程,保持系统的稳定行。
终止以下进程,都是常见的病毒进程
病毒线程 3:
主要是枚举局域网内的共享文件夹,然后把病毒自身复制为到共享文件夹中 ,名称为setup.exe 。
然后利用 IPC$的弱口令扫描局域网中的机器,
使用弱口令如下:
如果命中则继续感染这台机器。
病毒所用的 C&C服务器
用于病毒作者下达指令指挥中了病毒的僵尸,进行 DDOS攻击,或者盗号行为。先简单介绍一下大体功能,之后再做详细分析。
Comments