疯狂的LPK劫持者

1、“LPK劫持者”木马入侵受害者计算机后，首先会给自己创建主体程序和随机启动的服务项。木马主体程序是一个随机命名的程序“fwpfsp.exe”，它被创建到“C:\WINDOWS\system32”系统目录下，木马程序的图标竟然伪装《360安全卫士》的主程序图标，真不要脸啊。

4、“LPK劫持者”木马程序“hrl*.tmp”运行后，会开启“8090”端口连接黑客服务器将用户隐私信息发送给黑客，而且随时接受黑客的命令下载其它的病毒和木马，在“命令提示符”里面输入DOS命令“NETSTAT /A /N”查看木马开启的端口和连接黑客服务器的IP地址。

6、因为“LPK劫持者”木马利用了 W坡纠课柩indows 系统 的运行规则，将众多应用程序运行时需要加载的系统动态链接库程序“造婷用痃lpk.dll”伪装创建在这些应用程序的安装目录下。如果在运行某个程序时，这个程序存在“DLL劫持漏洞”，也就是没有设计“lpk.dll”动态链接库程序的指定系统加载路径：“%SystemRoot%\system32\lpk.dll”，那么 Windows 操作系统 的默认搜索方式会先将当前目录下木马的动态链接库程序“lpk.dll”插入到进程中运行，再去“C:\WINDOWS\system32”系统目录下搜索系统的动态链接库程序“lpk.dll”插入到进程中运行。这是 Windows 操作系统 DLL动态链接库程序的加载顺序：“1.应用程序所在目录 =》2.当前工作目录 =》3.系统目录 =》4.Windows目录 =》5.环境变量指定的目录”。“LPK劫持者”木马在每个应用程序的安装目录下都创建了木马动态链接库程序“lpk.dll”，也就是说全盘哪个文件夹目录下存在“.exe”可执行程序就存在木马动态链接库程序。“lpk.dll”文件属性均为“只读”、“系统”和“隐藏”的文件属性，文件大小均是“130 KB”。也就是说，感染“LPK劫持者”木马计算机只要打开某个应用软件就会重新释放“LPK劫持者”木马。“LPK劫持者”木马除了全盘劫持“lpk.dll”动态链接库程序之外，还会调用 MS-DOS 操作系统 程序“fine.exe”使用DOS命令全盘查找扩展名为“.rar”和“.zip”压缩文件，在系统临时文件“C:\WINDOWS\Temp”目录下创建一个名称为“IRA***.tmp”的文件夹，“***”为随机数字，本次文件名是“IRA818.tmp”。并向压缩包内恶意添加木马动态链接库程序“lpk.dll”，就是恶意利用《WinRAR》压缩软件的“rar.exe”将木马动态链接库程序“lpk.dll”压缩添加到“.rar”和“.zip”压缩文件中，这也解释了为什么感染“LPK劫持者”木马后会出现大量的“rar.exe”进程。然后将已被恶意添加木马动态链接库程序“lpk.dll”的“.rar”和“.zip”压缩文件放回原有目录下覆盖正常的“.rar”或“.zip”压缩文件。这样以后受害者解压缩某些应用软件的同时也会把“lpk.dll”一起解压缩出来，再运行这个软件后同样会重新释放“LPK劫持者”木马。

7、这是感染“LPK劫持者”木马后的“任务管理器”进程截图，会出现大量的“fine.exe”和“cmd.exe”还有“hrl*.tmp”进程

9、鼠标右键子项“KnownDLLs”菜单中选择“新建(N)”----颍骈城茇-“字符串值(S)”，将其命名为“lpk”，“数值数据”设置为“lpk.dll”，确定。退出“注册表编辑器”，务必重启一下计算机。这样，一些需要加载“lpk.dll”的应用程序运行时会从系统目录下查找“lpk.dll”并加载，而不再会因为 Windows 操作系统 DLL动态链接库程序的加载顺序从当前目录下查找“lpk.dll”并加载了。利用这个方法也可以防止其它“.dll”动态链接库程序遭“DLL劫持”！例如2009年初发现的“猫癣”木马同2010年末发现的“LPK劫持者”木马的行为一样，只不过该木马是全盘劫持动态链接库程序“usp10.dll”，导致当初重装系统也无法解决“猫癣”木马。为了防止“猫癣”木马通过全盘劫持“usp10.dll”死灰复燃，可以在注册表分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”下添加一个名称为“usp10.dll”的键值项。PS：采用内核 Windows NT 5.1 系列的操作系统默认情况下只有少数关键的“.dll”系统动态链接库程序在此子项下，而自从 Windows Vista 操作系统下采用 NT 6.1 内核的 Windows 7.0 操作系统下面此子项已经相当齐全，所以在 Windows 7.0 操作系统下发生“DLL劫持”的概率要比 Windows NT/2000/XP 操作系统下要小很多。如图，这是 Windows 7.0 操作系统的注册表分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”右侧窗口截图。

10、按“Ctrl + Alt + Del”键调出“任务管理器”，在里面结束“fwpfsp.exe”（不存在就跳过此步骤）和“hrl*.tmp”一系列的木马进程，“*”代表数字。

11、使用《超级兔子》或者《Windows 优化大师》清理系统临时文件，主要目的是一键删除“LPK劫持者”木马在用户临时文件“C:\Documents and Settings\Administrator（受害者的用户名）\Local Settings\Temp”目录下创建的所有名称为“hrl*.tmp”的一系列木马程序，“*”代表数字。删除“C:\WINDOWS\system32”系统目录下的木马主体程序“fwpfsp.exe”。删除木马服务项，开始菜单-----运行 输入：“regedit.exe”（双引号去掉），调出“注册表编辑器”。依次展开至“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root”分支下面找到名称为“LEGACY_NATIONALKDU”的子项，鼠标右键子项“LEGACY_NATIONALKDU”菜单中选择“删除(D)”。这时，删除子项“LEGACY_NATIONALKDU”会弹出“删除项时出错”的对话框。这是因为这个注册表分支在“权限”上被限制了只能访问而不能删除的操作。鼠标右键子项“LEGACY_NATIONALKDU”菜单中选择“权限安全……把子项“LEGACY_NATIONALKDU”下面所有用户权限的“完全控制”打上勾，确定，再删除子项“LEGACY_NATIONALKDU”。

12、返回注册表五大预定义项，重新依次展开至“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”分支下面找到名称为“Nationalkdu”的子项，鼠标右键子项“Nationalkdu”菜单中选择“删除(D)”。如图，可以很清楚看到木马服务项“Nationalkdu”指向“C:\WINDOWS\system32”系统目录下的木马主体程序“fwpfsp.exe”。退出“注册表编辑器”，务必重启一下计算机。

13、“LPK劫持者”木马在每个应用程序安装目录下都恶意添加创建的木马动态链接库程序“lpk.dll”，怎么办？一个一个删除岂不是太麻烦？干脆有人全盘格式化重装系统了。千万不要全盘格式化重装系统，使用一个DOS命令就能彻底地全盘删除“LPK劫持者”木马在全盘应用程序安装目录下以及其子目录下恶意添加创建的木马动态链接库程序“lpk.dll”。开始菜单----运行 输入：“cmd.exe”（双引号去掉），在“命令提示符”的黑色窗口里面输入DOS命令：DEL /F /S /A /Q *:\lpk.dllPS：“*”代表驱动器磁盘分区的盘符，上面的截图是删除“LPK劫持者”木马在C盘所有文件夹目录下恶意添加创建的“lpk.dll”，有几个驱动器磁盘分区就按照上述方法做几次。例如删除“LPK劫持者”木马在D、E、F盘所有文件夹目录下恶意添加创建的“lpk.dll”，可以分别输入DOS命令“DEL /F /S /A /Q D:\lpk.dll”、“DEL /F /S /A /Q E:\lpk.dll”、“DEL /F /S /A /Q F:\lpk.dll”（双引号去掉）。“LPK劫持者”木马并没有恶意替换“C:\WINDOWS\system32”系统目录下正常的系统动态链接库程序“lpk.dll”，那么使用DOS命令删除会不会也把“C:\WINDOWS\system32”系统目录下的正常的系统动态链接库程序“lpk.dll”删除掉呢？不用担心，因为系统动态链接库程序“lpk.dll”是某些系统服务启动后需要加载的重要文件之一，由于正在被这些系统服务调用运行中，所以删除时会提示“拒绝访问”。

14、除了系统目录下一些系统程序“.exe”未被“LPK劫持者”木马破坏之外，其它被木马破坏的“.exe”可执行程序可以通过覆盖重装这些应用软件即可解决问题。目前还没有一款杀毒软件能把“LPK劫持者”木马在“.exe”可执行程序中注入的恶意代码剥离出来，不知道《卡巴斯基》能不能恢复被破坏的“.exe”可执行程序，可以先试试。