LPK 病毒分析
本帖最后由 JuncoJet 于 2020-4-3 14:30 编辑LPK 病毒
https://www.52pojie.cn/thread-1147708-1-1.html
(出处: 吾爱破解论坛)
偶然电脑桌面上发现了个LPK22.DLL,看年份比较久远,应该是故意留着的
国际惯例查壳,这个程序没有壳,可能是FASM或者VC++编写,个人认为应该是VC2008纯SDK写的,不使用C库
7z查看,发现DLL中有包含EXE信息
查看资源段101是一个字符串,102是上面的EXE
查壳EXE,是VC6编写,也没有壳,但是用了MFC目测是个窗口应用
要不是Delphi编写,肯定认为是个灰鸽子
DLL入口,
创建线程,遍历EXE/RAR/ZIP目录,感染
感染RAR/ZIP文件
EXE中还包含了LPK.DLL
大致整个文件结构是这个样子的,
并且,疑似是有生成器生成的。仔细比较上面的DLL资源段101和这个EXE注册的服务名,是一致的。
SERVER.EXE主要负责更新下载DLL,完了再注册服务,其他代码也比较多,没有仔细分析。有空再说。
战言灬永不败 发表于 2020-4-3 16:28
小白问一下,中了这个病毒电脑会怎样
不会怎么样,要看下载的更新包是什么内容。
不带更新包的话,专杀查杀一下就行了。 有台电脑中了LPK病毒,XP系统,当时还下载论坛提供的专杀 好像是巨盾什么得,没有用,进PE下,用专杀杀,然后再全盘寻找,删除,只保留系统文件的22K的原文件,当时记得好像中毒的是43K文件,进缓存删除HTR 和攻略什么得文件,全部删除,全程在PE下操作,但是还是没有用,用360系统急救,好像是启动文件都被替换了,来回搞两次,还是无法解决。一怒之下,格盘,这个病毒的电脑,只要插U盘 所有文件夹下都马上中毒,太恶心了。网上巨盾那个专杀是没有的,唯一的解脱就是早格盘,早超升。 EXE部分分析详见论坛老铁
一次对lpk.dll劫持木马的分析
https://www.52pojie.cn/thread-386684-1-1.html
(出处: 吾爱破解论坛)
win10下面能生效? 乱乱弹 发表于 2020-4-3 14:36
win10下面能生效?
WIN7路过,没有WIN10。 以前单位老电脑上全是这玩意儿,貌似会假冒U盘上所有文件的文件名和图标,让你以为双击打开的是文件和文件夹,其实先运行了病毒然后才弹出打开的文件 当年貌似中过这个病毒,打开每个文件夹都有lpk 昨天杀毒刚杀出来这个,今天看见有点慌了 小白问一下,中了这个病毒电脑会怎样{:301_983:} 杀毒杀的死不???
页:
[1]
2