学逆向论坛

找回密码
立即注册

只需一步,快速开始

发新帖

450

积分

0

好友

15

主题
发表于 2021-3-10 14:50:48 | 查看: 19063| 回复: 5
本帖最后由 Print动 于 2021-4-3 09:45 编辑

1样本概况
1.1 样本信息
病毒名称:LPK劫持病毒
大小: 24576 bytes
文件版本:7.02.2600.5512 (xpsp.080413-0852)
修改时间: 2015年9月29日, 13:10:48
MD5: B5752252B34A8AF470DB1830CC48504D
SHA1: AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18
CRC32: 4EDB317F

病毒行为:
1.2 测试环境及工具
系统:WIN7 x32虚拟机
工具:PEID OD IDA 火绒剑 PCHunter32

1.3 分析目标2.具体行为分析
病毒行为分析,编写专杀工具。
2.1 信息收集
2.1.1 查壳

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
脱壳后PEID查看

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
2.1.2 云沙箱分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
2.1.3 导入表查看

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
2.1.4 字符串信息收集

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
3.病毒样本动作捕捉

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

模块加载

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
修改与写入文件

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
设置注册表项

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
进程写入操作

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
网络监控

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
释放PE文件与释放隐藏文件

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
3.1.1资源分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
详细分析
伪代码

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
函数sub_405B6E分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
以上代码,程序第一次运行,将自己拷贝到指定系统目录,创建服务,启动服务,删除自身。
若服务已被创建,则通过判断,第二次打开程序则直接打开服务。调用sub_40561A。

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
sub_405394 函数内部

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
回调函数EnumFunc

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
sub_4053A6 函数功能

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
sub_4034E5 函数分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
接下来是四个创建线程的操作,从第一个开始分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
第一个线程的回调函数

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
第一个线程的主要功能就是通过IPC链接两病毒在局域网传播。
第二个线程的详细分析
内部函数sub_404044的分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
sub_4060F0分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
所以这个函数的具体功能为收集系统信息
第三个线程内部分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
总结:
函数功能与第一个线程回调函数一样
第二个远程连接服务器地址sbcq.f3322.org
第三个远程连接服务器地址www.520123.xyz
第四个远程连接服务器地址被加密,"1NTUHRYRExYRExYREx3c0eQJChcRFUM=",解密后是www.520520520.org:9426
病毒程序加载的dll详细分析
导出表

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
sub_100019E6 分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
sub_100018D3 分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
sub_1000142B 分析

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴

LPK劫持病毒分析(需要病毒样本请留言)学习交流贴
手工查杀:
删除病毒文件
使用PcHumter结束病毒程序
删除病毒启动项修复lpk文件,将其他路径下的lpk删除,或直接使用杀毒软件查杀


LPK.rar

21.51 KB, 下载次数: 5, 下载积分: 学币 -3

请在虚拟机中运行

温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可,还可以获得学币奖励,请尊重他人的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。

    发表于 2021-4-2 17:23:03
    学习了 想要样本自己试一试 谢谢师傅
    Print动 发表于 2021-4-3 09:46 详情  回复
    样本已上传,推荐使用Win7 x86 进行运行,测试前做好虚拟机快照
    发表于 2021-4-3 09:46:31
    三滴H2O 发表于 2021-4-2 17:23
    学习了 想要样本自己试一试 谢谢师傅

    样本已上传,推荐使用Win7 x86 进行运行,测试前做好虚拟机快照
    三滴H2O 发表于 2021-4-3 10:47 详情  回复
    好的 谢谢提醒

      发表于 2021-4-3 10:47:26
      Print动 发表于 2021-4-3 09:46
      样本已上传,推荐使用Win7 x86 进行运行,测试前做好虚拟机快照

      好的 谢谢提醒

        发表于 2022-3-28 11:39:53
        大神真多啊。
        发表于 2022-3-28 13:44:58
        感谢分享,我会认真学习的!

        小黑屋|手机版|站务邮箱|学逆向论坛 ( 粤ICP备2021023307号 )|网站地图

        GMT+8, 2024-12-22 10:52 , Processed in 0.149239 second(s), 66 queries .

        Powered by Discuz! X3.4

        Copyright © 2001-2021, Tencent Cloud.

        快速回复 返回顶部 返回列表