LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

Print动

1．样本概况

1.1 样本信息

病毒名称：LPK劫持病毒

大小: 24576 bytes

文件版本:7.02.2600.5512 (xpsp.080413-0852)

修改时间: 2015年9月29日, 13:10:48

MD5: B5752252B34A8AF470DB1830CC48504D

SHA1: AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18

CRC32: 4EDB317F

病毒行为：

1.2 测试环境及工具

系统：WIN7 x32虚拟机

工具：PEID OD IDA 火绒剑 PCHunter32

1.3 分析目标2．具体行为分析

病毒行为分析，编写专杀工具。

2.1 信息收集

2.1.1 查壳

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

脱壳后PEID查看

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

2.1.2 云沙箱分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

2.1.3 导入表查看

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

2.1.4 字符串信息收集

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

3．病毒样本动作捕捉

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

模块加载

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

修改与写入文件

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

设置注册表项

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

进程写入操作

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

网络监控

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

释放PE文件与释放隐藏文件

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

3.1.1资源分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

详细分析

伪代码

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

函数sub_405B6E分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

以上代码，程序第一次运行，将自己拷贝到指定系统目录，创建服务，启动服务，删除自身。

若服务已被创建，则通过判断，第二次打开程序则直接打开服务。调用sub_40561A。

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

sub_405394 函数内部

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

回调函数EnumFunc

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

sub_4053A6 函数功能

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

sub_4034E5 函数分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

接下来是四个创建线程的操作，从第一个开始分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

第一个线程的回调函数

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

第一个线程的主要功能就是通过IPC链接两病毒在局域网传播。

第二个线程的详细分析

内部函数sub_404044的分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

sub_4060F0分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

所以这个函数的具体功能为收集系统信息

第三个线程内部分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

总结：

函数功能与第一个线程回调函数一样

第二个远程连接服务器地址sbcq.f3322.org

第三个远程连接服务器地址www.520123.xyz

第四个远程连接服务器地址被加密，"1NTUHRYRExYRExYREx3c0eQJChcRFUM="，解密后是www.520520520.org:9426

病毒程序加载的dll详细分析

导出表

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

sub_100019E6 分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

sub_100018D3 分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

sub_1000142B 分析

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

LPK劫持病毒分析（需要病毒样本请留言）学习交流贴

手工查杀：

删除病毒文件

使用PcHumter结束病毒程序

删除病毒启动项修复lpk文件，将其他路径下的lpk删除，或直接使用杀毒软件查杀

三滴H2O

学习了 想要样本自己试一试 谢谢师傅

Print动

三滴H2O 发表于 2021-4-2 17:23
学习了 想要样本自己试一试 谢谢师傅

样本已上传，推荐使用Win7 x86 进行运行，测试前做好虚拟机快照

三滴H2O

Print动 发表于 2021-4-3 09:46
样本已上传，推荐使用Win7 x86 进行运行，测试前做好虚拟机快照

好的 谢谢提醒

小雷-软件开发

大神真多啊。

974182764@qq.co

感谢分享，我会认真学习的！