本文详细分析了一次lpk.dll病毒样本,介绍了其样本基本信息、测试环境、沙箱检测结果,以及样本的运行流程、主要行为,包括创建服务、隐藏自身、感染局域网、收集系统信息并接受远程指令。同时,文章揭示了病毒如何通过dll劫持实现持久化,并提供了手动查杀步骤。
lpk.dll病毒是比较常见的一类病毒,系统本身的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录。
lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致不能彻底清除。
样本概况
样本基本信息
MD5: 304bbe0e401d84edf63b68588335ceb6
SHA-1: 8389fb0466449755c9c33716ef6f9c3e0f4e19c8
SHA-256: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb File size: 52.50 KB (53760 bytes)
测试环境及工具
测试环境:Windows 7
测试工具:PEID、StudyPE、IDA Pro、x32dbg、火绒剑
沙箱检测
从上面的沙箱检测结果,初步可以得到的信息:
该病毒启动具有隐藏界面的cmd窗口,将自身拷贝到其他目录,修改网络代理设置,连接了三个域名等操作。
样本分析
主要流程概述
第一次运行样本后会创建系统服务、添加注册表的键值,根据系统时间随机生成一个名字的文件,将母体拷贝到该文件并释放到C:/Windows路径下,给新生成的子文件icykmk.exe添加服务的自启动项,结束母体并删除。
之后运行icykmk.exe,首先加载hra33.dll然后创建4个线程。
加载的hra33.dll首先遍历文件,判断是否存在.exe,如果存在,就继续递归寻找下一个;否则,就在同路径下创建lpk.dll;然后判断是否存在.rar或者.zip,如果存在,就继续递归寻找下一个,如果不存在就往压缩包添加lpk.dll。
线程1:通过弱口令感染局域网内的共享文件夹,将病毒释放到共享文件夹中。
线程2:连接到控制端sbcq.f3322.org,获取当前系统信息(CPU型号,系统版本,上线时间,内存信息等)发送给病毒作者,然后就循环等待病毒作者的指令接收,判断info的类型,做出相应的操作。
线程3:连接控制端www.520123.xyz。具体功能同线程2。
线程4:连接控制端www.520520520.org:9426。具体功能同线程2。
流程图如下:
样本动作捕捉
运行样本,火绒剑捕捉样本行为动作:
设置注册表项:
创建进程操作:
最低0.47元/天 解锁文章
959
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
