DDOS공격을 가지고 있는 lpk.dll

FileName	lpk.dll
MD5	82074e886b2cc21471075f4192c4eabb
SHA256	e6d6d84fdbda986dd818a79acab628fa5fe901137e1bddc239f510703a4bf0e0

이 녀석이 노트북하고 회사 가상머신에 감염이 되어서 몇일동안 개고생을 했다..

어디서 감염된지도 모르겠고.. executable한 바이너리가 있는 폴더에 lpk.dll이 숨어있고 dll injection이 되서 자꾸 프로세스에 은닉한다.

o services.msc를 열어서 Distribuyww를 정지시킨다. o Process Explorer를 사용하여 dll injection 된 lpk.dll, hra33.dll를 종료시킨다. o 해당 서비스의 경로로 따라가 hra33.dll과 바이너리(본인은 hufzuk.exe)를 삭제한다.

정확히 분석은 하진 않았지만 메모리에 올라간 내용을 보아선 DDoS 기능을 가진 lpk.dll같다.

이유는 메모리를 보면 GET을 통하여 웹접속을 하기 위해 필요로하는 내용들이 몇몇 있기 때문에..

추정하기엔 hufzuk.exe는 드랍퍼, hra33.dll 드랍된 파일이며 DDoS를 하는 바이너리로 추정된다.