你的分享就是我们的动力 ---﹥

lpk.dll病毒分析

时间:2013-03-04 15:17来源:www.chengxuyuans.com 点击:

  病毒简介

  该样本是使用“VC”编写的盗号木马,采用“NSpack”加壳方式,企图躲避特征码扫描,加壳后长度为“16,936 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为盗取完美世界游戏帐号密码等信息。

  中毒症状

  用户中毒后,会出现游戏无故关闭,输入用户名密码时,电脑运行速度缓慢,Windows软件无故报错等现象。

  它是一种杀毒软件很难清除的一种木马,会随着系统启动而启动,会自动生成文件到系统目录或是程序目录,有可能还会在RAR文件目录中生成,一般杀毒软件查杀到RAR里面有此文件会提示删除文件而导致客户的文件丢失。如果发现电脑中几乎所有的目录都存在lpk.dll,甚至压缩包中也存在,则极有可能中了利用操作系统自动加载lpk的蠕虫(而且是木马)。

  感染对象

  Windows 2000/Windows XP/Windows 2003/Windows7

  传播途径

  网页木马、文件捆绑、下载器下载

  病毒分析

  (1)查看注册表,如果找到游戏安装目录

  (2)复制%SystemRoot%\system32\LPK.DLL到游戏目录,并命名为elementQPW.dll,再在游戏目录释放QPWGameRecord.dll和LPK.dll,使游戏启动时自动加载病毒动态库

  (3)遍历进程,如果发现avp.exe和KVMonXP.exe进程,移动自身为%Temp%\wlwzsystem.gif,结束进程

  (4)释放%Temp%\elementwlwz.dll,然后加载,设置钩子

  (5)移动自身为%Temp%\wlwzsystem.gif

  (6)截获密码并发送到指定网站

  解决方案

  病毒清除方案

  手动删除以下文件:

  [游戏安装目录]\elementQPW.dll

  [游戏安装目录]\QPWGameRecord.dll

  [游戏安装目录]\LPK.dll

  %Temp%\wlwzsystem.gif

  %Temp%\elementwlwz.dll

  或是下载lpk.dll专杀软件来实现

转载注明地址:http://www.chengxuyuans.com/hacker/defense/50265.html