lab7-1

样机:win7
分析工具:ida
主要功能:创建开机自启动服务到特定时间对特定网址进行DDOS攻击
分析
ida查看导入表

创建服务函数:
病毒特征
网络通信函数:
病毒特征

进入具体main函数,这里汇编比伪代码更清楚一点,利用了StartServiceCtrlDispatcherA函数

病毒特征病毒特征
官方解释:将服务进程的主线程连接到服务控制管理器,这使得线程成为调用进程的服务控制调度程序线程。
个人理解:打开服务控制管理器,为后面创建服务等操作提供基础
其中lpServiceProc指向关键函数sub_401040,意思是,这个函数执行完之后执行sub_401040

进入sub_401040,伪代码的逻辑十分清晰
病毒特征
首先判断是否有名为HGL345重复互斥量,有则退出,没有创建互斥量
获取当前程序的伪句柄GetCurrentProcess,通过GetModuleFileNameA得到当前程序的路径
病毒特征
新建服务,划红线的是关键的点,lpBinaryPathName将之前GetModuleFileNameA得到的路径利用,dwStartType设置服务启动属性,2表示开机自动启动,dwServiceType指定服务类型(此文件没完整利用到)
病毒特征
将0给systemtime进行初始化,然后将2100给systime的年,通过SystemTimeToFileTime进行时间格式转换
CreateWaitableTimerA建立一个闹钟,SetWaitableTimer设置时间为2100年1月1日启动
病毒特征
后面建立20个线程,入口函数为StartAddress
病毒特征
线程函数是一个无限循环的网站下载,肉鸡的DDOS攻击
病毒特征


一个好奇的人