3601_lpk劫持病毒分析( 四 )
发现10019e6添加lpk函数时 , 会遍历文件 , 如果遇到exe文件就在相同目录下拷贝lpk.dll , 如果有.rar或者.zip文件 , 就用100142b进行感染 。
文章插图
? 等线程执行完毕后退出线程 , 使用10001123释放dll 。
查杀方案病毒特征:关键字符串
GhigklABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/1NTUHRYRExYRExYREx3c0eQJChcRFUM=
写yara 规则:
文章插图
然后可以使用ClamAv进行查杀 。
手工查杀
【3601_lpk劫持病毒分析】①结束相关进程树;②删除注册表HKEY_LOCAL_MACHINE\system\CurrentControlset\services\Ghijkl Nopqrstu Wxy下注册表键;③删除病毒exe和hra32.dll;④遍历磁盘和压缩包 , 删除lpk.dll 。