本帖最后由 SSEC 于 2017-7-19 20:05 编辑
LPK类病毒分析与查杀 1 简述 1.1什么是LPK类病毒LPK类病毒是指伪装成系统文件lpk.dll的木马病毒,受影响系统为微软Windows。LPK类病毒通常会释放自身病毒体lpk.dll到所有的进程文件夹中,由于Windows优先加载进程当前文件夹中的lpk.dll,导致了类似全盘感染的现象。 1.2 有哪些危害感染LPK类病毒的主机通常性能会大大下降,可能有大量的病毒进程占用系统资源,主机上的安全软件、办公软件、游戏应用也有可能受影响而不可用。 LPK类病毒的目的在于长期控制受害者主机,窃取用户重要信息(含个人银行账号、邮箱密码、游戏账号等),下载并给用户安装不必要的流氓或恶意软件,以赚取广告流量费用,或作为DDoS终端,或作为可控肉机出售。 实际上,感染LPK类病毒已经意味着主机处于高风险之中,最好及时清理以减少不必要的损失。
2 中毒症状 2.1 常见感染路径LPK类病毒通常运行起来之后,常见的释放路径如下(释放自身文件): C:\Windows\system32\[随机名字].exe C:\Documents and Settings\Administrator\Local Settings\Temp\[随机名字].tmp C:\Windows\system32\hra33.dll 整个磁盘,只要有可执行文件exe的目录,就有lpk.dll释放到该目录下(所以此类病毒相当顽固,稍有不慎就漏杀,只要普通可执行文件下有该lpk.dll即可激活病毒): 系统文件lpk.dll和病毒lpk.dll的区别: 一、系统文件lpk.dll比病毒lpk.dll要小,如上图所示,所有22KB的lpk.dll为正常系统文件,所有71KB的lpk.dll为病毒文件 二、病毒文件lpk.dll的文件属性是“隐藏” 三、系统文件lpk.dll主要在 C:\Windows\system32 C:\Windows\system32\dllcache C:\Windows\winsxs 中,其它文件夹中的lpk.dll为病毒文件。 2.2 添加启动项或服务LPK类病毒会感染系统注册表服务项,以添加或修改键值的方式,达到开机自启动。这里,列出LPK类病毒的常见启动项(服务): 使用Autoruns工具,观察到如下启动项(服务)已被LPK类病毒感染: HKLM\System\CurrentControlSet\Services\[随机服务项名 [随机服务项名是指一个名字随机的服务项,不同变种可能名字不同。截图给出的是某个变种,此时该服务项名为Distribuoeq,对应病毒文件在 C:\windows\system32\weeeao.exe。 2.3 病毒进程LPK类病毒的存在形式是多样的,可能是独立运行的进程,也可能是将恶意代码注入到系统进程中运行,或者以动态库的方式被其它进程加载起来,包括被rundll32.exe独立加载。 下图展示的是LPK类病毒的某种变种,可以看到它将病毒lpk.dll模块注入到explorer.exe进程中,并且对该进程挂了应用层钩子,钩子类型为IAT。 LPK类病毒也可能以独立进程的方式运行,如下图所示,任务管理器中有hrl1A.tmp、hrl1B.tmp等以tmp为后缀的进程,即为LPK类病毒。 LPK类病毒会释放lpk.dll到各个有可执行文件的目录中,如下图,pd32.exe是一个正常的可执行文件,相同目录下,有一个lpk.dll的病毒文件。 当我们运行pd32.exe的时候,当前文件的lpk.dll被当做系统文件dll优先加载进来,导致正常进程被注入病毒体dll。 如上图所示,判断某个进程如Wireshark.exe是否被LPK类病毒感染:手动查看Wireshark.exe的进程模块,如果有两个lpk.dll被加载进来了,其中一个没有Microsoft签名,则该进程肯定被LPK类病毒感染了! 2.4 网络行为LPK类病毒的网络行为包括但不限于如下: 1.连接远程控制服务器,接收C&C命令 2.窃取用户账号密码,发到控制端 3.下载各种恶意软件或广告软件,劫持流量,篡改首页 4.可能作为DDoS终端,对外发起攻击 通过抓包,发现某种LPK类病毒的接入地址为dingtao333.3322.org, 威胁情报显示,dingtao333.3322.org 是一个常见的病毒接入地址。 3 如何查杀3.1 结合杀软和专杀工具LPK类病毒是相对顽固的木马病毒,这里建议同时使用杀软和LPK专杀工具进行查杀,并且最好是全盘扫描。推荐使用杀毒软件进行全盘扫描,主要是防止LPK类病毒已经给感染主机种上了其它的病毒。 常见的杀软很多,这里推荐下火绒的: LPK专杀工具,可以使用瑞星的: 3.2 更为保守的处理LPK类病毒有不同变种,黑客与时俱进,不断的加强和完善该病毒的各项能力。是否还有些不为人知的特殊技能,轻松躲过专杀工具,还不得而知。 而且LPK类病毒释放的文件众多,杀毒工具或专杀工具能否彻底查杀并修复干净,仍有一定的可能性(虽然不干净的可能性非常小)。如果对主机的安全风险有更高的要求,建议只把文档文件复制出来(所有的二进制文件均抛弃不要),然后重装系统,这样要来得更安全些。 | 
发表于 2017-6-26 19:42
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
