lpk.dll劫持

最新推荐文章于 2024-07-31 10:04:18 发布
最新推荐文章于 2024-07-31 10:04:18 发布
阅读量975 收藏 2
点赞数 1
分类专栏: 病毒分析 文章标签: 记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_ZHAZHAL/article/details/97136816
版权
该博客详细分析了iosguk.exe及其关联的hra33.dll病毒行为。iosguk.exe创建服务、拷贝自身、删除源文件、网络连接以及感染共享文件夹;而hra33.dll则遍历磁盘创建伪装的lpk.dll系统文件。病毒还涉及DLL劫持,使用弱口令感染共享文件,并进行网络发包。
摘要由CSDN通过智能技术生成

文章目录

iosguk.exe

样本信息

病毒名称:aa8834270d1370990cd6c640b1736809.exe
MD5: AA8834270D1370990CD6C640B1736809
SHA1: 6CD4EAC430DDCDC48518BC732E7E854D05E4B345
CRC32: 6582AE94
病毒行为:创建服务,将自身拷贝到c:\windows目录下,删除自身,通过网络连接来更新病毒并发送系统信息和数据包,通过感染共享文件夹感染局域网。加载 hra33.dll,释放自己的 lpk.dll。判断是DLL劫持。

PEID 分析

发现是UPX壳,脱掉之后再分析。

[外链图片转存失败(img-hJpV6tTZ-1563955797296)(index_files/7220b573-b1c6-4c52-9308-968edfa12821.png)]

脱掉之后发现是 VC 6.0 的程序。

[外链图片转存失败(img-dhVN1po9-1563955797298)(index_files/24639268-6ef8-47cf-9451-e0e7597284dc.png)]

通过恶意代码的导入表分析,发现有与服务、网络连接相关的函数。

[外链图片转存失败(img-EkD55C7W-1563955797298)(index_files/e2d54249-7bb5-4e17-a7f5-7b4f444c5bbe.png)]

[外链图片转存失败(img-pst7AuBn-1563955797299)(index_files/9dde96e2-a5e1-4f12-a44e-201c2b1f9380.png)]

火绒剑分析

执行监控

在 C:\Windows 目录下释放并运行iosguk.exe 文件,使用 cmd 命令删除自身的恶意代码。

[外链图片转存失败(img-DikSDpoL-1563955797300)(index_files/b925c4ab-a96e-4132-93f6-f9d76357b81d.png)]

[外链图片转存失败(img-yrej8Gkm-1563955797300)(index_files/e8c8bf14-5575-4344-9a62-c019a9e0be4a.png)]

文件监控

可以看到恶意代码在 C:\Windows\System32\ 目录下创建了 hra33.dll 并且在很多目录下都创建了 lpk.dll 的文件。

[外链图片转存失败(img-x0Uxr7Sv-1563955797301)(index_files/125efbc9-8ce8-44cd-80a9-1b53e807b717.png)]

[外链图片转存失败(img-kADhiTZe-1563955797301)(index_files/b2ae346e-aecc-4c05-b533-e9911ed35948.png)]

服务监控

发现创建了一个名称为 2 的服务。

最低0.47元/天 解锁文章
1行
关注
专栏目录
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))
Hades的博客
07-16 3067
病毒分析之洪水攻击木马分析(hra33.dll(LPK.DLL))样本信息文件名称:hra33.dlllpk.dll文件: C:\Users\Hades-win7\Desktop\hra33.dll.vir大小: 46080 bytes修改时间: 2017年8月1日, 12:08:36MD5: A066B5BB41892068E172E5F52B3137F4SHA1: 658889F4B0F62...
DLL劫持 LPK (示例) VC代码
06-27
一个劫持LPK.dll的示例,没有添加其他功能代码。
lpk.dll是什么
weixin_33739523的博客
11-12 864
lpk.dll是什么?这是一个盗号木马,其感染 Drix的相关文件并加载起来,一旦杀毒软件删除被感染的文件,就会导致相关组件缺失,游戏及浏览器等常用软件运行不起来。此时如果用户自行下载一个版本不对的文件手工修复是不太安全的,最好使用权威安全软件修复此问题。建议下载最新版的360系统急救箱恢复丢失的DLL文件,下载后,打开程序,点击开始急救等出现“引擎初始...
无感染区警报:lpk.dll 丢失,防线或崩溃?
最新发布
czl922的博客
07-31 729
在尝试启动某些应用程序或游戏时,可能会遇到与lpk.dll文件相关的错误,导致程序无法正常启动或运行过程中出现问题。lpk.dll是Windows操作系统中的一个重要动态链接库文件,几乎所有的Windows程序都会使用这个文件。当该文件缺失或损坏时,不仅会影响单个程序的运行,还可能引发系统级的问题。
转帖:DLL劫持技术详解(lpk.dll)
weixin_30617561的博客
04-04 323
说起DLL劫持技术,相信大家都不会陌生,因为这种技术的应用比较广泛,比如木马后门的启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等。之所以DLL劫持技术深受黑客们的喜爱,主要是因为该技术可以有效的躲过大部分杀软,并且实现起来技术难度不大。DLL劫持技术也不是什么新技术,记得在《Windows核心编程》中也有提及相关技术。可是对我们广大初学者来说,DLL劫持技术就显得很神秘了,本系列教程将...
7.ring3-DLL劫持技术详解(lpk.dll)
热门推荐
hgy413的专栏
07-29 1万+
背景知识 https://support.microsoft.com/en-us/kb/164501中记录了除了window的搜索dll顺序 要看中文的兄弟可以看:https://support.microsoft.com/zh-cn/kb/164501 我们当然主要关注32位的dll 对于 32 位 Dll 在找到 KnownDLLs 注册表项: HKEY_LOCAL_MA
lpk后门劫持
qq_49694748的博客
10-08 395
lpk后门劫持 工具:lpk sethc 靶机:win03、winxp(开启3389) ps:此工具只能攻击03和xp 使用工具生成lpk后门,注意生成的文件一定是lpk.dlllpk放到靶机的exe文件的同级目录 管理员权限的用户运行exe文件(同级目录下的phpstudy)就会触发lpk后门 攻击机远程连接靶机,按5次呼出shift后再按设置的热键(我设置的是ab,要同时按下,如果没弹出后门多按几次) 弹出后门后输入设置的密码 至此,lpk后门制作完成 原理: 因为Windows的资源共享机制。为了
lpk.rar_lpk_lpk. dll_lpk.dll
09-20
描述中提到“模拟了 lpk.dll,可以实现劫持”,这可能是指创建了一个模拟的 `lpk.dll` 文件,可以用来替代原版文件以执行特定的操作,比如改变输入行为、劫持键盘输入或进行其他自定义功能。这种“劫持”通常在编程...
lpk.dll劫持源码带配置界面
02-28
在IT安全领域,"lpk.dll劫持"是一种常见的恶意软件技术,用于篡改系统功能,通常是通过替换或劫持合法的系统动态链接库(DLL)文件来实现。"lpk.dll"全称是"Language Pack DLL",是Windows操作系统中负责处理文字...
Lpk.dll.usp10.dll
09-24
Lpk.dll劫持者”与“usp10.dll猫癣”木马样本 为盗号木马,只能手动查杀,其他查杀工具无法查杀windonws/system/下的病毒,查看时请注意安全, 请在下载后24小时内删除。木马样本仅供学习参考使用,不得破坏他人...
易语言黑月之lpkDLL劫持
08-30
易语言黑月之lpkDLL劫持 简单易懂。发出来新手学习一下吧
lpk劫持添加用户源码
04-16
lpk劫持添加用户源码,全套源码及已编译好的DLL文件。addnetuser.cpp是添加一个帐号localadmin密码为abc@123的用户,并将localadmin添加进administrators组。adduser.cpp可单独编译成一个exe文件,也可将代码放入到lpk.cpp中的
手工查杀木马病毒 lpk.dll, usp10.dll
onestab
12-14 1721
1. 重启电脑,按F8,进入带命令行的安全模式 2. 进入C盘根目录,运行以下命令: attrib -S -H -R lpk.dll /s attrib -S -H -R usp10.dll /s del /s lpk.dll del /s usp10.dll 3. 对所有磁盘执行上述命令。 4. 重启电脑:shutdown /r /t 1 备注:系统目录system32下的这
记一次lpk劫持样本分析
Test网络安全
08-26 1879
lpk.dll病毒是比较常见的一类病毒,系统本身的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录。 lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致不能彻底清除。 样本概况 样本基本信息 MD5: 304bbe0e401d84edf63b68588335ceb6 SHA-1: 8389fb046644
DLL劫持”技术的经典-----“LPK劫持者”木马!
weixin_30648963的博客
02-01 271
LPK劫持者》 “.exe”可执行程序曾遭“威金”病毒的洗劫,导致全盘应用程序被病毒恶意捆绑感染,中了此毒很是麻烦、无奈,而且拥有数百个变种,相信大家对这类蠕虫病毒并不陌生。然而,一直被“.exe”可执行程序加载的“.dll”动态链接库程序也难逃厄运。 近日,我在互联网上捕捉到了一个既全盘感染“.exe”可执行程序又全盘劫持“.dll”动态链接库程序的木马病毒,这就是“LPK劫持者”木马。首...
了解lpk.dll是什么病毒以及lpk.dll病毒专杀方法
weixin_34161083的博客
03-25 2547
pk.dll病毒是当下比较流行的一类病毒,而正常系统本身也会存在lpk.dll文件,这足以说明这类病毒的危险性。系统本身的lpk.dll文件位于C:WINDOWSsystem32和C:WINDOWSsystem32dllcache目录下。下面小编就带大家了解下lpk.dll是什么病毒以及lpk.dll病毒专杀方法。     lpk.dll是什么病毒   lpk.dll病毒的典型特征是感染存在...
3601-lpk.dll劫持病毒分析
w_g3366的博客
09-07 1570
文章目录3601-lpk.dll劫持病毒分析1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤 3601-lpk.dll劫持病毒分析 1.样本概况 1.1 样本信息 病毒名称:3601.exe 所属家族:木马病毒 大小:...
lpk.dll病毒详解与专杀方法
"lpk.dll病毒的详细解析与清除指南" lpk.dll并不是一个单一的病毒,而是指一类利用正常系统文件lpk.dll进行恶意活动的病毒。这种病毒的狡猾之处在于它会模仿系统中合法存在的lpk.dll文件,藏身于含有可执行文件(exe...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值