lpk.dll病毒是比较常见的一类病毒,系统本身的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录。
lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致不能彻底清除。
MD5: 304bbe0e401d84edf63b68588335ceb6
SHA-1: 8389fb0466449755c9c33716ef6f9c3e0f4e19c8
SHA-256: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb File size: 52.50 KB (53760 bytes)
测试环境:Windows 7
测试工具:PEID、StudyPE、IDA Pro、x32dbg、火绒剑
从上面的沙箱检测结果,初步可以得到的信息:
该病毒启动具有隐藏界面的cmd窗口,将自身拷贝到其他目录,修改网络代理设置,连接了三个域名等操作。
第一次运行样本后会创建系统服务、添加注册表的键值,根据系统时间随机生成一个名字的文件,将母体拷贝到该文件并释放到C:/Windows路径下,给新生成的子文件icykmk.exe添加服务的自启动项,结束母体并删除。
之后运行icykmk.exe,首先加载hra33.dll然后创建4个线程。
加载的hra33.dll首先遍历文件,判断是否存在.exe,如果存在,就继续递归寻找下一个;否则,就在同路径下创建lpk.dll;然后判断是否存在.rar或者.zip,如果存在,就继续递归寻找下一个,如果不存在就往压缩包添加lpk.dll。
线程1:通过弱口令感染局域网内的共享文件夹,将病毒释放到共享文件夹中。
线程2:连接到控制端sbcq.f3322.org,获取当前系统信息(CPU型号,系统版本,上线时间,内存信息等)发送给病毒作者,然后就循环等待病毒作者的指令接收,判断info的类型,做出相应的操作。
线程3:连接控制端www.520123.xyz。具体功能同线程2。
线程4:连接控制端www.520520520.org:9426。具体功能同线程2。
流程图如下:
运行样本,火绒剑捕捉样本行为动作:
设置注册表项:
创建进程操作:
文件增删查改操作:
网络收包发包操作:
下面是随机生成名字的子程序进程和har33.dll:
查壳
首先,查壳,病毒upx加壳,手动esp定律或者upx -d脱壳后PEID看到病毒是由Microsoft Visual C++ 6.0编写。
studyPE查看导入表:
IDA Pro7.5载入样本文件,进入WinMain函数:
WinMain函数中是网络相关的函数,判断服务及注册表是否存在,并且母体病毒开始初始化。
sub_405A52()函数内部就是判断键值是否存在。就是判断是否创建了一个名为”Ghijkl Nopqrstu Wxy“的服务,如果创建了,就返回1,执行if当中的操作;如果没有创建,那么执行else当中的操作,创建服务。简言之,就是判断样本是否第一次运行。
下面分析else当中的sub_405B6E():
1、在ADVAPI32.dll中加载函数,遍历文件。
2、根据时间随机生成数作为文件名进行拼接,然后拷贝到C:\Windows\目录下。
3、创建服务。
4、添加注册表项。
然后分析下面的sub_40355B():
上面的伪代码可以看到:母体通过字符串拼接执行cmd命令删除自身,设置高优先级。
以上代码,程序第一次运行,将自己拷贝到指定系统目录,创建服务,启动服务,删除自身。
若服务已被创建,则通过判断,第二次打开程序则直接打开服务。调用sub_40561A()。
会先判断键值是否存在,如果存在的话就开启服务,进入服务回调继续分析。
sub_40561A()主函数内容如下:
作为新程序的主程序,之前先做了服务初始化操作,主要分析下面的函数。
sub_4053A6()函数主要作用的就是加载dll。
在sub_4053A6()函数中,检查注册表,打开hra33.dll,拷贝2个资源到hra33.dll。大致如下:
释放资源:
sub_4034E5()函数加载hra33.dll,该dll具有dll劫持功能。
下面分析一下创建的四个线程当中的具体操作。
初始化一堆字符串,根据下面获取主机名以及网络连接的函数,IPC内置的一些弱口令。
弱口令攻击:
线程1的作用就是:通过弱口令感染局域网其他主机, 如果连接成功通过,通过共享目录将病毒传播出去, 利用 at 定时执行启动任务, 通过 admin$共享传播病毒。
第二、三、四线程功能基本相同,区别是连接的地址不同。
就拿线程2来说:
该线程首先与sbcq.f3322.org控制端进行网络连接,如果连接成功继续往下,不然就返回。然后初始化socket套接字。
sub_4060F0()函数当中获取了一些系统内存cpu等信息,
之后又加载了hra33.dll,将收集到的系统相关信息发送到控制端,等待接收控制端发来的指令,当接收的数据>6时才开始进行swtich…case中进行匹配。
指令 > 6时:
当指令为0x10时,会从网络上下载恶意代码到临时的文件然后执行它。
当指令为0x12:
打开互斥体,防止多开带来的检测风险。根据系统时间随机生成文件名,初始化一些信息,设置优先级,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。
当指令为0x14:
打开IE浏览器并弹框。
当指令 < 0x6时:
指令等于0x6:
和0x12执行一致,打开互斥体,防止多开带来的检测风险。根据系统时间随机生成文件名,初始化一些信息,设置优先级,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。
当指令为0x2:
进行初始化socket
当指令为0x3:
sub_403280函数,里面仍然会做一些判断,继续分析各个函数,会发现这是一个发包的函数。
GET数据请求头:
GET请求数据包:
指令为0x4:
仍旧是初始化socket。
至此线程2分析结束。
总结一下,它获取系统信息,cpu信息,内存信息,将这些信息发往控制端,通过控制端发来的指令类型执行不同的操作。
第二个远程连接服务器地址sbcq.f3322.org
第三个远程连接服务器地址www.520123.xyz
第四个远程连接服务器地址被加密,"1NTUHRYRExYRExYREx3c0eQJChcRFUM=",解密后是www.520520520.org:9426
接着来分析分析劫持lpk.dll的hra33.dll。
Dllmain函数中分析,获取模块名字后判断病毒文件是否存在,如果存在,就在同目录下将内存数据写入到.TMP临时文件,并创建一个胡互斥体,检测同目录下是否存在lpk.dll,如果存在,加载lpk.dll到zip,rar文件,并且同目录下创建exe。如果没有被加载就释放dll文件。之后获取原lpk.dll,将其替换为自己的lpk.dll,实现lpk劫持。
sub_1000142B()当中是添加压缩包的操作:
利用rar的shell命令进行操作,先检查同路径有没有lpk.dll,如果没有,就以最大速度解压文件,将lpk.dll添加到文件夹中,然后再重新压缩文件,最后删除临时文件。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!