LPK劫持者木马和解决方法

《LPK劫持者木马和解决方法》由会员分享，可在线阅读，更多相关《LPK劫持者木马和解决方法（5页珍藏版）》请在金锄头文库上搜索。

1、LPK劫持者木马简介和解决方法在2012年12月其中一周内瑞星共截获了607848个钓鱼网站，共有277万网民遭遇钓鱼网站攻击。有一个名为“ Trojan.Spy.Win32.Hijclpk.a（ LPK劫持者木马病毒）”应引起大 家警惕。该病毒运行后，将在系统文件夹内施放一个盗号木马，并修改注册表，以实现开机自启动。同时，该病毒还会搜索所有含有exe文件的文件夹以及 rar压缩文件，然后进行自我复制，以便进行大范围传播。除此之外，该病毒还将感染部分html文件和js脚本，使其指向黑客指定的挂马网站。最后，该病毒还将恶意代码注入windows进程中，以实现监听用户电脑的目的。用户一旦中毒，将被

2、下载大量木马病毒，还要面临虚拟财产被盗、隐私信 息泄露等威胁。首次发现时间是2010年12月初，不过直到2011年2月份左右这个木马才正式活跃了起来。“LPK劫持者”全盘破坏 .exe”可执行程序和恶意劫持动态链接库程序 lpk.dll ” 病毒名称：“LPK劫持者”木马； 病毒别称（江民科技）：通犯”变种rnn; 病毒类型：木马； 病毒长度：133,120字节； 病毒 MD5 : 7e6a61267592dd8afb9e2799b23f7cbd 危害等级： 感染系统：Windows系统； 病毒样本：附上“ LPK劫持者”的木马样本，请在下载后 24小时内删除。木马样本仅供学习参考 使用，不得

3、破坏他人计算机等非法用途，如有后果请自负，本人不承担任何法律责任！ 附件：“LPK劫持者”木马样本.rar“LPK劫持者”木马入侵受害者计算机后，首先会给自己创建主体程序和随机启动的 服务项。木马主体程序是一个随机命名的程序fwpfsp.exe ”，它被创建到 “C:WINDOWSsystem32 ”系统目录下，木马程序的图标竟然伪装360安全卫士的主程序图标，真不要脸啊。然后在“ C:WINDOWSsystem32 ”系统目录下 再创建两个 木马动 态链 接库程序 hra32.dll 和hra33.dll,然后将它们插入到木马主体进程 fwpfsp.exe去运行。给木马主体程序“ fwpfs

4、p.exe”创建一个随机命名的服务项来随机自动启动，本次测试 创建的木马服务项的名称是Nationalkdu 。之后LPK劫持者木马将自身fwpfsp.exe 复制到用户临时文件C:Documents and SettingsAdministrator （受害者的用户名）Local SettingsTemp 目录下并重命名为 hrl*.tmp , 再调入到内存中去运行。hrl*.tmp ”运行后，会弹出标题名为AntiVirus ”的窗体，内存中 有几个hrl*.tmp 运行就会弹出几个来。AntiVirus 英文翻译过来是杀毒软件的意思， 由于该木马本来模仿的就是360安全卫士的主程序图标。

5、所以懂英语的受害者在不知情 的情况下，还以为这是360安全卫士的弹窗。PS:*代表数字依次按照数学顺序排列，例如 hrl1.tmp 、hrl2.tmp 、hrl3.tmp ,由于受害者每次重启计算机后，随机启动的木马服务运行木马主体程序“fwpfsp.exe”之后，都会将自身fwpfsp.exe复制到用户临时文件 C:Documents and SettingsAdministrator （受害者的用户名）Local SettingsTemp目录下并按照数学顺序将其重命名为hrl*.tmp 再去执行它们，然后hrl*.tmp 运行后便会结束木马的主体进程 fwpfsp.exe。想到这， 各位也

6、都应该明白了为什么“LPK劫持者”木马会创建“ hrl*.tmp ”来运行自己了。一般每次重启计算机后LPK劫持者”木马都会调用两个 hrl*.tmp ”到内存中去运行，例如受害者本次重启计算机后检测到上次创建的两个病毒程序hrll.tmp”和hel2.tmp”，那么第二次创建的两个病毒程序就是hrl3.tmp 和hrl4.tmp 。所以长时间未清理临时文件的情况下，日积月累，用户临时文件的文件夹目录下会出现大量的“ hrl*.tmp ,占用硬盘 空间。“LPK劫持者”木马程序“ hrl*.tmp ”运行后，会开启“ 8090”端口连接黑客服务器将 用户隐私信息发送给黑客，而且随时接受黑客的命

7、令下载其它的病毒和木马，在“命令提示符”里面输入 DOS命令“NETSTAT/A /N ”查看木马开启的端口和连接黑客服务器的IP地址。还会破坏受害者的计算机，最明显的破坏行为就是全盘破坏.exe”可执行程序和全盘恶意劫持动态链接库程序lpk.dll ”。调用MS-DOS操作系统 程序“fine.exe ”使用DOS命令全盘查找扩展名为 .exe”的 可执行程序程序，在系统临时文件 C:WINDOWSTemp ”目录下创建一个名称为 TRA*.tmp ”的文件夹，* ”为随机数字，本次文件名是“ IRA910.tmp ”。然后将找到 后的 .exe”可执行程序复制到该文件夹目录下，对其注入恶意

8、代码，再把已注入恶意代码 的.exe”可执行程序放回原有目录下覆盖正常的.exe”可执行程序。通过eXeScope这个软件工具查看对比一下某个应用软件的主程序“.exe”被“ LPK劫持者”木马破坏的前后！很明显，被“ LPK劫持者”木马破坏的 .exe”可执行程序都被 恶意添加了一个名称为 .adate”的段。并在这些 .exe”可执行程序的当前目录下创建一个名称为“lpk.dll ”的木马动态链接库程序。为什么在每个应用程序的文件夹目录下创建一个木马的Tpk.dll ”呢？这就是“DLL劫持”技术。因为“ LPK劫持者”木马利用了Windows系统的运行规则，将众多应用程序运行时需要加载的

9、系统动态链接库程序lpk.dll”伪装创建在这些应用程序的安装目录下。如果在运行某个程序时，这个程序存在“ DLL劫持漏洞”，也就是没有设计“ lpk.dll ”动态链接库 程序的指定系统加载路径：SystemRoot%system32lpk.dll ，那么 Windows操作系统 的默认搜索方式会先将当前目录下木马的动态链接库程序 lpk.dll”插入到进程中运行，再去 X:WINDOWSsystem32 ”系统目录下搜索系统的动态链接库程序 lpk.dll ”插入到进程中 运行。这是 Windows操作系统 DLL动态链接库程序的加载顺序：“1.应用程序所在目录=2.当前工作目录 =3.系

10、统目录=4.Windows目录=5.环境变量指定的目录。“LPK劫持者”木马在每个应用程序的安装目录下都创建了木马动态链接库程序 “lpk.dll ”，也就是说全盘哪个文件夹目录下存在“.exe”可执行程序就存在木马动态链接库程序。Tpk.dll ”文件属性均为“只读”、“系统”和“隐藏”的文件属性，文件大小均是“130KB ”。也就是说，感染“LPK劫持者”木马计算机只要打开某个应用软件就会重新释放“LPK劫持者”木马。“LPK劫持者”木马除了全盘劫持“lpk.dll ”动态链接库程序之外，还会调用MS-DOS操作系统 程序fine.exe使用DOS命令全盘查找扩展名为.rar和.zip压缩

11、文件，在 系统临时文件C:WINDOWSTemp ”目录下创建一个名称为 TRA*.tmp ”的文件夹，* ” 为随机数字，本次文件名是“ IRA818.tmp”。并向压缩包内恶意添加木马动态链接库程序“lpk.dll ”，就是恶意利用WinRAR 压缩软件的“rar.exe”将木马动态链接库程序lpk.dll ”压缩添加到“ .rar”和 .zip ”压缩文件中，这也解释了为什么感染“ LPK劫持者”木马后会 出现大量的“rar.exe”进程。然后将已被恶意添加木马动态链接库程序 lpk.dll ”的 .rar” 和.zip”压缩文件放回原有目录下覆盖正常的 .rar”或.zip”压缩文件。

12、这样以后受害者解压缩某些应用软件的同时也会把“lpk.dll ” 一起解压缩出来，再运行这个软件后同样会重新释放“ LPK劫持者”木马。这是感染“ LPK劫持者”木马后的“任务管理器”进程截图，会出现大量的“ fine.exe 和cmd.exe还有hrl*.tmp ”进程。被“LPK劫持者”木马全盘感染的 .exe”可执行程序并不是像“威金”病毒那样将自 身捆绑到程序中运行后会重新释放病毒，而是注入一种破坏命令代码，就是诺在当前目录下检测不到木马动态链接库程序 lpk.dll ”就不运行。所以，当把木马在某些应用软件安装目 录下恶意添加的木马动态链接库“lpk.dll ”删掉后，这个应用软件的

13、主程序“.exe”打开后将不运彳T无响应。“LPK劫持者”木马解决办法 第一步：由于“ LPK劫持者”木马在系统目录下都恶意添加了 “ lpk.dll ”劫持，造成了运行某些 系统工具都有可能程序释放“LPK劫持者”木马。例如在“ C:WINDOWS ”系统目录下就恶意添加了木马动态链接库程序Tpk.dll ”，所以默认随机启动运行的“ explorer.exe”就会重新释放 LPK劫持者木马，可以说explorer.exe 反面上来讲也就变成了 LPK劫持者 木马的开机启动项。系统程序explorer.exe”只是一个例子，如果受害者的计算机设置了多 款应用软件随机自动运行，那么这些应用软件

14、反面上来讲就都成了 “ LPK劫持者”木马的 开机启动项。这怎么办？不用怕，微软提供了指定“ DLL劫持”的防范措施。开始菜单-运行 输入：“regedit.exe”（双引号去掉），调出“注册表编辑器”。依次展 开至分支 “ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs ，可以看到子项KnownDLLs ”分支下有多个系统动态链接库程序。鼠标右键子项 KnownDLLs ”菜单中选择“新建（N） ” - “字符串值（S） ”，将其命名 为“lpk”，“数值数据”设置为“ lpk.dll ”，确定

15、。退出“注册表编辑器”，务必重启一下计算机。这样，一些需要加载“ lpk.dll ”的应用程序运行时会从系统目录下查找“ lpk.dll ”并加 载，而不再会因为Windows操作系统 DLL动态链接库程序的加载顺序从当前目录下查找“lpk.dll ” 并加载了。利用这个方法也可以防止其它.dll”动态链接库程序遭“ DLL劫持”！例如2009年初发现的“猫癣”木马同2010年末发现的“ LPK劫持者”木马的行为一样，只不过该木马是全盘劫持动态链接库程序usp10.dll”，导致当初重装系统也无法解决“猫癣”木马。为了防止“猫癣”木马通过全盘劫持“ usp10.dll ”死灰复燃，可以在注册表分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerKnownDLLs 下添加一个名称为usp10.dll的键值项。PS:采用内核 Windows NT 5.1系列的操作系