LPK 病毒分析

JuncoJet · 发表于 2020-4-3 14:24

本帖最后由 JuncoJet 于 2020-4-3 14:30 编辑

LPK 病毒
https://www.52pojie.cn/thread-1147708-1-1.html
(出处: 吾爱破解论坛)

偶然电脑桌面上发现了个LPK22.DLL，看年份比较久远，应该是故意留着的
国际惯例查壳，这个程序没有壳，可能是FASM或者VC++编写，个人认为应该是VC2008纯SDK写的，不使用C库
Image 001.jpg

7z查看，发现DLL中有包含EXE信息
Image 002.jpg

查看资源段101是一个字符串，102是上面的EXE
Image 005.jpg

查壳EXE，是VC6编写，也没有壳，但是用了MFC目测是个窗口应用
要不是Delphi编写，肯定认为是个灰鸽子
Image 003.jpg

DLL入口，

创建线程，遍历EXE/RAR/ZIP目录，感染
Image 007.jpg

感染RAR/ZIP文件
Image 008.jpg

EXE中还包含了LPK.DLL
Image 006.jpg

大致整个文件结构是这个样子的，

并且，疑似是有生成器生成的。仔细比较上面的DLL资源段101和这个EXE注册的服务名，是一致的。
Image 004.jpg

SERVER.EXE主要负责更新下载DLL，完了再注册服务，其他代码也比较多，没有仔细分析。有空再说。

JuncoJet · 发表于 2020-4-3 16:33

战言灬永不败发表于 2020-4-3 16:28
小白问一下，中了这个病毒电脑会怎样

不会怎么样，要看下载的更新包是什么内容。
不带更新包的话，专杀查杀一下就行了。

wudi_911 · 发表于 2020-4-4 15:57

有台电脑中了LPK病毒，XP系统，当时还下载论坛提供的专杀好像是巨盾什么得，没有用，进PE下，用专杀杀，然后再全盘寻找，删除，只保留系统文件的22K的原文件，当时记得好像中毒的是43K文件，进缓存删除HTR 和攻略什么得文件，全部删除，全程在PE下操作，但是还是没有用，用360系统急救，好像是启动文件都被替换了，来回搞两次，还是无法解决。一怒之下，格盘，这个病毒的电脑，只要插U盘所有文件夹下都马上中毒，太恶心了。网上巨盾那个专杀是没有的，唯一的解脱就是早格盘，早超升。

JuncoJet · 发表于 2020-4-3 14:32

EXE部分分析详见论坛老铁

一次对lpk.dll劫持木马的分析
https://www.52pojie.cn/thread-386684-1-1.html
(出处: 吾爱破解论坛)

乱乱弹 · 发表于 2020-4-3 14:36

win10下面能生效？

JuncoJet · 发表于 2020-4-3 14:41

乱乱弹发表于 2020-4-3 14:36
win10下面能生效？

WIN7路过，没有WIN10。

头狼 · 发表于 2020-4-3 15:04

以前单位老电脑上全是这玩意儿，貌似会假冒U盘上所有文件的文件名和图标，让你以为双击打开的是文件和文件夹，其实先运行了病毒然后才弹出打开的文件

xiaoyxf · 发表于 2020-4-3 16:22

当年貌似中过这个病毒，打开每个文件夹都有lpk

战言灬永不败 · 发表于 2020-4-3 16:25

昨天杀毒刚杀出来这个，今天看见有点慌了

战言灬永不败 · 发表于 2020-4-3 16:28

小白问一下，中了这个病毒电脑会怎样

lai2020 · 发表于 2020-4-3 18:00

杀毒杀的死不？？？

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] LPK 病毒分析

免费评分

免费评分

个人中心