LPK类病毒分析与查杀

LPK类病毒分析与查杀

1 简述

某公司安全实验室
原文地址http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=32801

1.1什么是LPK类病毒

LPK类病毒是指伪装成系统文件lpk.dll的木马病毒，受影响系统为微软Windows。LPK类病毒通常会释放自身病毒体lpk.dll到所有的进程文件夹中，由于Windows优先加载进程当前文件夹中的lpk.dll，导致了类似全盘感染的现象。

1.2 有哪些危害

感染LPK类病毒的主机通常性能会大大下降，可能有大量的病毒进程占用系统资源，主机上的安全软件、办公软件、游戏应用也有可能受影响而不可用。

LPK类病毒的目的在于长期控制受害者主机，窃取用户重要信息（含个人银行账号、邮箱密码、游戏账号等），下载并给用户安装不必要的流氓或恶意软件，以赚取广告流量费用，或作为DDoS终端，或作为可控肉机出售。

实际上，感染LPK类病毒已经意味着主机处于高风险之中，最好及时清理以减少不必要的损失。

2 中毒症状

2.1 常见感染路径

LPK类病毒通常运行起来之后，常见的释放路径如下（释放自身文件）：

C:\Windows\system32\[随机名字].exe

C:\Documents and Settings\Administrator\Local Settings\Temp\[随机名字].tmp

C:\Windows\system32\hra33.dll

整个磁盘，只要有可执行文件exe的目录，就有lpk.dll释放到该目录下（所以此类病毒相当顽固，稍有不慎就漏杀，只要普通可执行文件下有该lpk.dll即可激活病毒）：

系统文件lpk.dll和病毒lpk.dll的区别：

一、系统文件lpk.dll比病毒lpk.dll要小，如上图所示，所有22KB的lpk.dll为正常系统文件，所有71KB的lpk.dll为病毒文件

二、病毒文件lpk.dll的文件属性是“隐藏”

三、系统文件lpk.dll主要在

C:\Windows\system32

C:\Windows\system32\dllcache

C:\Windows\winsxs

中，其它文件夹中的lpk.dll为病毒文件。

2.2 添加启动项或服务

LPK类病毒会感染系统注册表服务项，以添加或修改键值的方式，达到开机自启动。这里，列出LPK类病毒的常见启动项（服务）：

使用Autoruns工具，观察到如下启动项（服务）已被LPK类病毒感染：

HKLM\System\CurrentControlSet\Services\[随机服务项名

[随机服务项名是指一个名字随机的服务项，不同变种可能名字不同。截图给出的是某个变种，此时该服务项名为Distribuoeq，对应病毒文件在 C:\windows\system32\weeeao.exe。

2.3 病毒进程

LPK类病毒的存在形式是多样的，可能是独立运行的进程，也可能是将恶意代码注入到系统进程中运行，或者以动态库的方式被其它进程加载起来，包括被rundll32.exe独立加载。

下图展示的是LPK类病毒的某种变种，可以看到它将病毒lpk.dll模块注入到explorer.exe进程中，并且对该进程挂了应用层钩子，钩子类型为IAT。

LPK类病毒也可能以独立进程的方式运行，如下图所示，任务管理器中有hrl1A.tmp、hrl1B.tmp等以tmp为后缀的进程，即为LPK类病毒。

LPK类病毒会释放lpk.dll到各个有可执行文件的目录中，如下图，pd32.exe是一个正常的可执行文件，相同目录下，有一个lpk.dll的病毒文件。

当我们运行pd32.exe的时候，当前文件的lpk.dll被当做系统文件dll优先加载进来，导致正常进程被注入病毒体dll。

如上图所示，判断某个进程如Wireshark.exe是否被LPK类病毒感染：手动查看Wireshark.exe的进程模块，如果有两个lpk.dll被加载进来了，其中一个没有Microsoft签名，则该进程肯定被LPK类病毒感染了！

2.4 网络行为

LPK类病毒的网络行为包括但不限于如下：

1.连接远程控制服务器，接收C&C命令

2.窃取用户账号密码，发到控制端

3.下载各种恶意软件或广告软件，劫持流量，篡改首页

4.可能作为DDoS终端，对外发起攻击

通过抓包，发现某种LPK类病毒的接入地址为dingtao333.3322.org，

威胁情报显示，dingtao333.3322.org 是一个常见的病毒接入地址。

3 如何查杀3.1 结合杀软和专杀工具

LPK类病毒是相对顽固的木马病毒，这里建议同时使用杀软和LPK专杀工具进行查杀，并且最好是全盘扫描。推荐使用杀毒软件进行全盘扫描，主要是防止LPK类病毒已经给感染主机种上了其它的病毒。

常见的杀软很多，这里推荐下火绒的：

http://www.huorong.cn/

LPK专杀工具，可以使用瑞星的：

http://dl.rising.com.cn/VirusTools/2011-08-17/9599.html

3.2 更为保守的处理

LPK类病毒有不同变种，黑客与时俱进，不断的加强和完善该病毒的各项能力。是否还有些不为人知的特殊技能，轻松躲过专杀工具，还不得而知。

而且LPK类病毒释放的文件众多，杀毒工具或专杀工具能否彻底查杀并修复干净，仍有一定的可能性（虽然不干净的可能性非常小）。如果对主机的安全风险有更高的要求，建议只把文档文件复制出来（所有的二进制文件均抛弃不要），然后重装系统，这样要来得更安全些。