×

LPK类病毒分析与查杀
  

SSEC 9015

{{ttag.title}}
本帖最后由 SSEC 于 2017-7-19 20:05 编辑

LPK类病毒分析与查杀
1 简述
1.1什么是LPK类病毒
LPK类病毒是指伪装成系统文件lpk.dll的木马病毒,受影响系统为微软WindowsLPK类病毒通常会释放自身病毒体lpk.dll到所有的进程文件夹中,由于Windows优先加载进程当前文件夹中的lpk.dll,导致了类似全盘感染的现象。
1.2 有哪些危害
感染LPK类病毒的主机通常性能会大大下降,可能有大量的病毒进程占用系统资源,主机上的安全软件、办公软件、游戏应用也有可能受影响而不可用。
LPK类病毒的目的在于长期控制受害者主机,窃取用户重要信息(含个人银行账号、邮箱密码、游戏账号等),下载并给用户安装不必要的流氓或恶意软件,以赚取广告流量费用,或作为DDoS终端,或作为可控肉机出售。
实际上,感染LPK类病毒已经意味着主机处于高风险之中,最好及时清理以减少不必要的损失。

2 中毒症状
2.1 常见感染路径
LPK类病毒通常运行起来之后,常见的释放路径如下(释放自身文件):
C:\Windows\system32\[随机名字].exe
C:\Documents and Settings\Administrator\Local Settings\Temp\[随机名字].tmp
C:\Windows\system32\hra33.dll
整个磁盘,只要有可执行文件exe的目录,就有lpk.dll释放到该目录下(所以此类病毒相当顽固,稍有不慎就漏杀,只要普通可执行文件下有该lpk.dll即可激活病毒):
系统文件lpk.dll和病毒lpk.dll的区别:
一、系统文件lpk.dll比病毒lpk.dll要小,如上图所示,所有22KBlpk.dll为正常系统文件,所有71KBlpk.dll为病毒文件
二、病毒文件lpk.dll的文件属性是“隐藏”
三、系统文件lpk.dll主要在
C:\Windows\system32
C:\Windows\system32\dllcache
C:\Windows\winsxs
中,其它文件夹中的lpk.dll为病毒文件。
2.2 添加启动项或服务
LPK类病毒会感染系统注册表服务项,以添加或修改键值的方式,达到开机自启动。这里,列出LPK类病毒的常见启动项(服务):
使用Autoruns工具,观察到如下启动项(服务)已被LPK类病毒感染:
HKLM\System\CurrentControlSet\Services\[随机服务项名
[随机服务项名是指一个名字随机的服务项,不同变种可能名字不同。截图给出的是某个变种,此时该服务项名为Distribuoeq,对应病毒文件在 C:\windows\system32\weeeao.exe
2.3 病毒进程
LPK类病毒的存在形式是多样的,可能是独立运行的进程,也可能是将恶意代码注入到系统进程中运行,或者以动态库的方式被其它进程加载起来,包括被rundll32.exe独立加载。
下图展示的是LPK类病毒的某种变种,可以看到它将病毒lpk.dll模块注入到explorer.exe进程中,并且对该进程挂了应用层钩子,钩子类型为IAT
LPK类病毒也可能以独立进程的方式运行,如下图所示,任务管理器中有hrl1A.tmphrl1B.tmp等以tmp为后缀的进程,即为LPK类病毒。
LPK类病毒会释放lpk.dll到各个有可执行文件的目录中,如下图,pd32.exe是一个正常的可执行文件,相同目录下,有一个lpk.dll的病毒文件。
当我们运行pd32.exe的时候,当前文件的lpk.dll被当做系统文件dll优先加载进来,导致正常进程被注入病毒体dll
如上图所示,判断某个进程如Wireshark.exe是否被LPK类病毒感染:手动查看Wireshark.exe的进程模块,如果有两个lpk.dll被加载进来了,其中一个没有Microsoft签名,则该进程肯定被LPK类病毒感染了!
2.4 网络行为
LPK类病毒的网络行为包括但不限于如下:
1.连接远程控制服务器,接收C&C命令
2.窃取用户账号密码,发到控制端
3.下载各种恶意软件或广告软件,劫持流量,篡改首页
4.可能作为DDoS终端,对外发起攻击
通过抓包,发现某种LPK类病毒的接入地址为dingtao333.3322.org
威胁情报显示,dingtao333.3322.org 是一个常见的病毒接入地址。
3 如何查杀3.1 结合杀软和专杀工具
LPK类病毒是相对顽固的木马病毒,这里建议同时使用杀软和LPK专杀工具进行查杀,并且最好是全盘扫描。推荐使用杀毒软件进行全盘扫描,主要是防止LPK类病毒已经给感染主机种上了其它的病毒。
常见的杀软很多,这里推荐下火绒的:
LPK专杀工具,可以使用瑞星的:
3.2 更为保守的处理
LPK类病毒有不同变种,黑客与时俱进,不断的加强和完善该病毒的各项能力。是否还有些不为人知的特殊技能,轻松躲过专杀工具,还不得而知。
而且LPK类病毒释放的文件众多,杀毒工具或专杀工具能否彻底查杀并修复干净,仍有一定的可能性(虽然不干净的可能性非常小)。如果对主机的安全风险有更高的要求,建议只把文档文件复制出来(所有的二进制文件均抛弃不要),然后重装系统,这样要来得更安全些。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

头像被屏蔽
新手166158 发表于 2019-5-17 16:09
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人