【转自卡饭】一个用U盘送病毒的lpk感染源分析

疯子年

转自V2EX：前几天打 ACTF 决赛进了第三名（我好渣qwq），奖品是一堆百度杀毒的 U 盘。打开后里面一堆百度全家桶不说，居然有一个 lpk.dll，百度真是用心良苦_(:3」∠)_ 某 lpk.dll 是小时候经常中的病毒，我估计你们都中过233。

根据Po主贴出的截图，可以在VirusTotal上找到这个古董级感染型病毒。它的主要特点是感染全盘的exe文件，并且对.rar .zip压缩包中释放病毒文件，这些文件都是隐藏和只读属性的，这种类型的感染如果不能彻底清除，很快就是死灰复燃，笔者推测应该是百度员工电脑被此病毒感染，在用U盘奖品拷贝安装包时导致出现此次的乌龙事件。

此外，该病毒远程连接指定的域名地址，一旦被感染，则会接受黑客的远程命令，参加ACTF 决赛拿到百度U盘的同学们，需要认真杀杀毒了。
病毒分析
以v2ex.com/t/196135（复制此链接到地址栏中打开即可）文中提到的病毒样本为例分析：
第一步
以xp系统为例（win7修改注册表即可），xp系统本身的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录下。lpk.dll病毒的典型特征是感染存在可执行文件的目录，并隐藏自身，删除后又再生成，当同目录中的exe文件运行时，lpk.dll就会被Windows动态链接，这个病毒加载起来之后立即定位自己的位置，激活恶意代码：

第二步
既然已经激活恶意代码了，那么接下来就是开始感染了。感染的步骤是这样的
首先，病毒为了保证运行流畅，创建了一个线程，

这个线程负责遍历所有的盘，

感染所有的exe，并且在exe的当前目录释放自己，以搜狗浏览器为例，病毒将自己放在跟搜狗同一个目录下，并且将自己的属性设置为隐藏和只读。

确认系统安装winrar之后，遍历全盘，一个一个的对.rar和.zip文件调用winrar命令，把病毒文件加入进去压缩包。命令行参数如下：

以下就是对exe的感染和对压缩文件操作部分的代码：

一旦被感染则全盘都是病毒文件的藏身之地，很难清除干净，即使系统重做但是如果有文件的病毒残留没有被清理干净则立即就会死灰复燃。
在做完这些事情之后病毒的感染功能就全部完成了，剩余的就是控制电脑的恶意代码了。
以下就是感染之后主动连接网络的情况：

从上面我们可以看到有一个.tmp的文件生成并且不断的执行恶意代码，这个隐藏的文件就是真正的控制部分，控制部分肯定有域名或者固定ip，顺着这个思路，内存抓取该文件继续分析，通过调试找到了病毒的真正主人

揪出这个幕后黑手之后。笔者推测域名当中的qq号码就属于病毒作者。
继续追踪发现这个病毒的基本特征：
基本的特点就是创建一个名字为Distribumkq的系统服务，插入IE浏览器进程，在堆中申请空间通过资源更新的方式写入自身，并且执行。这些都是远程控制恶意代码的惯用伎俩，在此就不一一详述了。可以确定的是，这是一个具备控制能力的感染型病毒。

病毒查杀
lpk.dll这类型病毒已经非常古老了，从VirusTotal截图来看，绝大多数杀毒软件也都能查杀。当然，用百度全家桶的同学还是要提高警惕，最好认真检查下电脑有没有异常，如果发现磁盘中出现很多lpk.dll文件，最好还是装个靠谱的杀软清理下。