首页
社区
课程
招聘
[原创]一个lpk.dll病毒的分析报告
发表于: 2017-5-25 03:08 13844

[原创]一个lpk.dll病毒的分析报告

2017-5-25 03:08
13844

1样本概况

病毒名称为3601.exe,运行后无窗口。采用UPX加壳,编写语言为Microsoft Visual C++ 6.0

1.1样本信息

病毒名称:3601.exe

所属家族:

MD5值:a5e4519f7cbb6e7efcff5474bb9179e0

SHA1值:E749452E3FDCE42A02313D9D2217405518127C2C

CRC321BC7519E

病毒行为:

创建指定网络连接泄露系统信息、删除自身复制自己到c:\windows目录文件名、在有exe文件的目录或者压缩包(rarzip)下创建lpk.dll文件。

1.2测试环境及工具

环境:WIN732SP1   

工具:ODIDAPCHunter

2.具体行为分析

2.1主要行为

创建一个新的服务

连接3个指定的网址

sbcq.f3322.org

www.520123.xyz

www.520520520.org

在有exe文件的目录或者压缩包中释放lpk.exe


 

 

病毒运行会先进行一个注册表键值判断。首次运行病毒返回值为2windows系统错误,找不到文件。

是判断该项目是否有值防止重复操作


 

判断当前运行程序是否在系统目录


 

如果不在系统目录 生成随机名字,并将自身赋值到C:\windows目录下


 

创建并启动一个名称为"Ghijkl Nopqrstu Wxy"的服务


中间设置服务略过。


 

打开注册表键值,设置服务描述为"Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst"



 

 

调用CMD命令 DEL 删除自己


 

 

下面看看释放到c:\windows目录下的文件又做了什么


 



 

通过查询"SYSTEM\CurrentControlSet\Services\Ghijkl Nopqrstu Wxy" 键值进行判断如果不成功,创建服务。

 

 

下面进入服务回调函数,大体行为如下


 

第一个线程是IPC攻击

IPC内置了一些弱口令


 

如果连接成功通过,想复制病毒到目标主机,然后通过AT命令执行计划任务,启动病毒

 


 

 

 

第二、三、四线程功能基本同区别是创建的sock连接地址不同。

sbcq.f3322.org

www.520123.xyz


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 1
支持
分享
打赏 + 1.00雪花
打赏次数 1 雪花 + 1.00
 
赞赏  CCkicker   +1.00 2017/05/31
最新回复 (16)
雪    币: 4794
活跃值: (4494)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
希望多写点这种帖子学习了
2017-5-25 17:23
0
雪    币: 7127
活跃值: (4387)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
可以发一下样本么,  没找到样本 
2017-5-25 22:47
0
雪    币: 201
活跃值: (689)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
希望发下样本
2017-5-26 17:14
0
雪    币: 365
活跃值: (126)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
5
已补样本
2017-5-26 19:42
0
雪    币: 68
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
里面有过uac吗,创建服务,写windows都有权限?
2017-5-27 10:53
0
雪    币: 236
活跃值: (67)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
7
window7环境下  是可以的
2017-5-27 11:25
0
雪    币: 68
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
荒野猎人 window7环境下 是可以的
我就是想问问怎么过uac的
2017-5-27 16:59
0
雪    币: 8233
活跃值: (2736)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
样本有密码呀
2017-5-28 06:59
0
雪    币: 6
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
请问样本密码是什么哦?
2017-6-14 17:04
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
望楼主告知密码呀
2017-6-25 06:28
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
哈密码是kanxue
2017-6-25 06:30
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
一年前,我们公司办公室被lpk.dll洗劫过。惨啊!
2017-7-27 08:37
0
雪    币: 197
活跃值: (1348)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
感谢!
2017-8-19 09:59
0
雪    币: 141
活跃值: (318)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
密码是什么
2017-9-8 10:13
0
雪    币: 9
活跃值: (205)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
16
MD5好像对不上。。
2017-12-16 16:46
0
雪    币: 9
活跃值: (205)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
17
谢谢分享
2018-1-8 22:32
0
游客
登录 | 注册 方可回帖
返回
//