LPK劫持者：一场疯狂的数字绑架案

疯狂的lpk劫持者，其实就是dll持现象。

1、LPK劫持者木马入侵受害者电脑后，创建会主体程序与随机启动服务项。主体程序名为fwpfsp.exe，位于C：WINDOWSsystem32目录下，且图标伪装成360安全卫士主程序图标，意图侵犯视听，其卑劣行为。这种伎俩不但欺骗用户，还试图逃避安全软件的查杀，实在令人不齿。

/gt；

2、在系统目录C：WINDOWSsystem32中创建两个恶意动态链接库文件hra32.dll和hra33.dll，把它们注入到木马主进程fwpfsp.exe中以运行。接着，为木马主程序fwpfsp.exe创建一个随机命名的服务项，以便实现随机自动启动功能。在本次测试中，生成的木马服务项名称为Nationalkdu。

3、 根据，LPK劫持者木马将自身fwpfsp.exe复制至用户临时文件目录C：Documents and SettingsAdministrator（受害者的用户名）Local SettingsTemp下，将其重命名为hrl*.tmp。之后，木马会加载该文件到内存中执行。当hrl*.tmp运行时，会弹出标题为AntiVirus的窗口。如果内存中有多个hrl*.tmp实示例运行时，底座相应地弹出多个此类窗口。AntiVirus意为杀毒软件。由于此木马修改了360安全卫士主程序的图标样式，因此懂英语的受害者可能误认为这是360安全卫士的提示窗口，从而难以察觉异常情况。

/gt；

/gt；

4、 *表示按照数字顺序依次排列，例如hrl1.tmp、hrl2.tmp、hrl3.tmp等。当受害者的计算机每次重启后，随机启动的木马服务会运行主程序fwpfsp.exe。之后，该程序会自行复制到用户的临时文件目录下（路径为C：Documents and SettingsAdministrator（即受害者的用户名）Local） SettingsTemp），将副本按数字顺序重命名为hrl*.tmp，然后执行这些重命名后的文件。一旦hrl*.tmp运行，取消终止木马主体进程fwpfsp.exe。通过这个过程，相信已经明白，LPK劫持者木马为何要创建hrl*.tmp来运行自身。

5、 通常情况下，在每次计算机重启后，LPK劫持者木马都会调用两个hrl*.tmp文件加载到内存中运行。例如，如果玩家本次重启时检测到上一次生成的两个病毒文件hrl1.tmp和hrl2.tmp，那那么在第二次创建时，就会生成hrl3.tmp和hrl4.tmp。因此，如果用户长时间未清理临时文件夹，随着时间的推移，临时文件目录下将会积累大量以hrl*.tmp命名的文件，从而占用大量的硬盘空间。

/gt；

6、 LPK持者木马运行后，会打开8090端口，连接黑客服务器，窃取用户隐私并携带黑客。同时，它会随时等待黑客指令，下载更多病毒或木马。用户可在劫持命令提示符中输入NETSTAT /A /N命令，查看木马端口的端口及黑客服务器的IP，及时发现异常连接。

/gt；

7、恶意软件对受害人的计算机造成严重破坏，其中最显着的行为破坏是全盘篡改.exe执行文件以及恶意劫持动态链接库程序lpk.dll。其运行机制是调用MS-DOS操作系统中的程序fine.exe，利用DOS命令在全盘范围内搜索扩展名为.exe的可执行文件。另外，它会在系统临时文件目录C：WINDOWSTemp下创建一个名为IRA*.tmp的文件夹（其中*为随机生成的数字，例如本次创建的文件夹名）为IRA910.tmp）。接着，将找到的所有.exe执行文件复制到该文件夹​​中，并注入非法代码。完成注入后，这些被篡改的.exe文件会被重新放回原目录，覆盖原有的正常文件。

8、 通过使用eXeScope这个工具进行对比分析，可以清楚地看到某个应用软件主程序.exe在发起LPK劫持者木马攻击前后的变化。可以看出，所有被破坏的.exe执行文件均被恶意添加了一个名为.adate的段。同时，在这些.exe文件所在的目录下，还会生成一个名为lp的文件k.dll的木马动态链接库程序。那么，为什么每个应用程序的文件夹目录下都需要生成一个lpk.dll？这是因为该木马利用了DLL劫持技术。这种技术通过在应用程序加载所需的标准动态链接库之前，优先加载恶意的lpk.dll文件，从而对目标程序功能进行恶意干预与控制。

/gt；

9、 LPK持者木马通过利用Windows系统的运行机制，将众多应用程序在运行时需要加载的系统动态链接库lpk.dll伪装成同名文件，并放置于这些应用程序的安装目录下。如果某个程序存在存在明显指定劫持DLL持漏洞，即未明确指定加载lpk.dll的系统路径为SystemRootsystem32lpk.dll，那么Windows操作系统会按照默认搜索顺序优先加载当前目录下的lpk.dll。此顺序为：1. 应用程序所在目录；2. 当前工作目录；3. 系统目录；4. Windows目录；5. 环境变量指定的目录。，LPK劫持者木马的lpk.dll会被优先插入到进程中运行，随后系统将会继续搜索C：WINDOWSsystem32下的相应lpk.dll。

10、该木马会在每个应用程序的安装目录中创建恶意版本的lpk.dll。具体结构，只要某文件夹存在中.exe进程，即可生成一个带有隐藏、系统和隐藏属性的木马文件，其大小固定为130 KB。这意味着，一旦计算机感染了LPK劫持者木马，每次启动任何应用软件时都会重新释放并激活该木马。

11、 另外，LPK劫持者木马不仅全面劫持盘中的lpk.dll动态链接库，还要调用MS-DOS下的fine.exe程序，通过DOS查找硬盘查找所有.rar和.zip格式的压缩文件。它会在系统临时文件夹C：WINDOWSTemp中创建名为IRA*.tmp的文件夹（其中*为随机数字，例如次本发现的IRA8）然后，木马自行伪装成lpk.dll，并通过恶意利用WinRAR压缩软件的rar.exe功能，将木马文件嵌入到每个找到的.rar或.zip压缩包中。这也是为什么感染此木马后，系统中会出现大量rar.exe进程的原因。被篡改的.rar或.zip文件会被放回原目录，覆盖原始正常文件。

这样，当受害者解压这些文件时，木马文件lpk.dll也随之解压到目标目录，从而进一步传播和感染其他设备。

12、感染LPK劫持者木马后，任务管理器中会显示大量异常进程，包括多个fine.exe、cmd.exe以及hrl*.tmp相关进程，请查杀。

/gt；

13、被LPK劫持者木马完全感染的.exe执行文件，并不像威金病毒那样通过将自身绑定到程序中运行后重新释放病毒，而是注入了一段破坏性命令代码。可能代码的作用是：如果在当前目录下检测不到木马动态链接库程序lpk.dll，则程序将无法运行。因此，当用户删除某些应用软件安装目录下恶意添加的木马动态链接库lpk.dll后，该应用软件的主程序.exe打开时会直接卡住，无法响应。

14、 针对LPK劫持者木马的解决方案如下：

15、第一步：首先由于LPK劫持者木马会在系统目录下的附件入口lpk.dll进行持持，这会导致运行某些系统工具时可能会重新释放LPK劫持者木马。例如，在C：WINDOWS系统目录下，木马会添加一个名为lpk.dll的动态链接库程序。这样一来默认，情况下随机启动的explorer.exe就会释放LPK劫持者木马。从反面来看，explorer.exe实际上已经成为了LPK劫持者木马的一个启动启动项。需要注意的是，explorer.exe只是一个例子。如果受害者的电脑设置了多款应用软件随系统启动自动运行，那么这些应用软件本质上也都变成了LPK劫持者木马的启动项。

16、这种情况，不必十分担心，因为微软提供了一种面对DLL劫持的方法。具体操作如下：

17、 1. 点击开始菜单，选择运行。

18、 2. 在弹出的对话框中输入regedit.exe（去掉双引号），然后按回车键，调出肥料编辑器。

19、 3. 在肥料编辑器中，依次展开至以下路径路径：

20、 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs

21、 4.在子项已知的DLL分支下，可以看到多个系统动态链接库程序。

22、后续的操作需要特别注意，防止误操作导致系统异常。请确保只对与木马相关的动态链接库进行修改或删除，避免影响正常的系统功能。通过上述步骤，可以有效防止LPK持证者木马利用系统动态链接库进行劫持和传播，从而保护系统的安全性和稳定性。

/gt；

23、 在奥尔编辑器中，找到鼠标右键子项KnownDLLs菜单，依次选择新建(N)中的字符串值(S)。创建完成后，将其命名为lpk，并在数值数据处填入lpk.dll，最后点击确定。设置完成后，请退出删除编辑器，并重新启动计算机以确保更改生效。

24、通过这样的操作，某些当需要加载lpk.dll的应用程序运行时，系统系统目录下查找并加载lpk.dll。这可以有效避免导致Windows操作系统DLL动态链接库加载顺序的问题，而导致程序从当前目录查找并加载lpk.dll。同时，这种方法还可以用于防止其他动态链接库（.dll）程序损坏DLL劫持。

例如，2009年首次发现的猫休闲木马和2010年末出现的LPK再次持卡者木马，它们的行为非常相似。其中，猫古巴劫持木马通过对全盘的usp10.dll进行劫持，使得即使重装系统也无法彻底清除该木马的影响。为了防止猫古巴劫持木马通过全盘劫持usp10.dll复活，我们可以在萝卜分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs下添加一个名为usp10.dll的键值项。

25、注意的是，在基于内核的Windows NT 5.1系列的操作系统（如Windows XP）中，默认情况下只有少数关键的.dll系统动态链接库会包含此子项中。然而，自Windows Vista起，支持NT 6.1内核的Windows 7操作系统这一项进行了大幅和完善，因此在Windows 7下生成DLL劫持的概率要远低于Windows NT/2000/XP 等早期操作系统。

/gt；

26、 按Ctrl Alt Del 键打开任务管理器，找到并结束fwpfsp.exe（若无此进程可跳过）以及hrl*.tmp相关的木马进程（*为数字）。

27、 兔子可以使用超级或Windows优化大师来清理系统临时文件，主要目的是删除由LPK劫持者木马在用户临时文件夹中创建的一系列恶意程序。这些文件通常位于以下路径：`C：Documents and SettingsAdministrator（这里为受害者的用户名）Local SettingsTemp`，文件名称格式为hrl*.tmp，其中*代表数字。

28、接下来需要删除木马的主体程序。该程序一般存放在系统目录下，具体路径为：`C：WINDOWSsystem32`，文件名为fwpfsp.exe。将其彻底删除外贸溶解。

29、 另外，还需要删除木马添加的服务项。操作步骤如下：点击开始菜单中的运行，输入`regedit.exe`（去掉双引号），打开园艺编辑器。在北极星中依次导航到以下分支：`HKEY_LOCAL_MACHINESYSTEMCurrentControl SetEnumRoot`。找到名为LEGACY_NATIONALKDU的子项。右键单击该子项，在弹出菜单中选择删除(D)选项。此时可能会出现删除项时出错的提示信息，原因是该出口分支的权限被设置为仅允许访问而无法直接删除。

30、为了解决此问题，请右键单击子项LEGACY_NATIONALKDU，选择权限安全…选项。在弹出的窗口中，为所有用户授予完全控制权限，并确认更改。完成权限调整后，重新尝试删除子项LEGACY_NATIONALKDU。这样即可成功删除木马相关的服务项，从而进一步保障系统的安全性。

31、 返回五个预定义项，逐步展开至HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices路径，找到名为Nationalkdu的子项。右键单击该子项，在菜单中删除选择(D)选项将其删除。

从界面中可以明确看到，Nationalkdu是木马服务项，指向C：WINDOWSsystem32系统目录下的恶意程序fwpfsp.exe。完成操作后关闭清除编辑器，并记得重新启动计算机以确保清除生效。此步骤为了彻底清除威胁威胁，请务必执行。

32、遇到LPK劫持者木马时，它会在每个应用程序的安装目录下生成恶意的lpk.dll动态链接库文件。如果一个手动删除，确实很麻烦，但也不建议直接卸载重装系统，因为有更简单的解决方法。

33、可以通过DOS命令一次性清除全盘中的lpk.dll文件。操作步骤如下：点击开始菜单，选择运行，输入cmd.exe命令（不带引号），打开提示符窗口。接着，在黑色的命令行界面中输入以下命令：`DEL /F /S /A /Q *：lpk.dll`，然后按回车键执行。该命令会强制删除（/F）、搜索所有子目录（/S）、处理所有属性文件（/A）并消耗确认（/Q）全盘中名为lpk.dll的文件。完成后，注意检查系统是否恢复正常，并及时安装杀毒软件进行全面扫描，避免再次感染。

34、在清理LPK劫持者木马时，需要删除其在各磁盘分区文件夹中有害的lpk.dll文件。以C盘为例，可以从所有文件夹目录下彻底清除这些有害文件。如果计算机有多个磁盘分区（如D、E、F盘），则需要重复操作，分别对每个磁盘执行相应的步骤。

35、具体方法是通过DOS命令完成删除操作。例如，要删除D、E、F盘中所有文件夹下的该lpk.dll，可以依次输入以下命令：`DEL /F /S /A /Q D：lpk.dll`、`DEL /F /S /A /Q E：lpk.dll`、`DEL /F /S /A /Q F：lpk.dll`（注意消耗保留双引号）。这些命令会强制删除目标文件，同时搜索子目录并静默处理。

36、系统正常文件的安全性问题，用户可能会担心，使用此类命令是否会误删除位于C：WINDOWSsystem32目录下的系统动态链接库lpk.dll。实际上，这种担心是多余的。因为系统动态链接库lpk.dll是某些关键服务运行时只需加载的重要文件，当前正被系统调用，在占用状态时，因此尝试时会收到合法拒绝访问的提示，从而保护了系统的本质。

37、总结来说，按照上述方法操作，能够有效清除LPK劫持者木马生成的恶意文件，同时确保系统正常文件不进行。

38、 系统目录下的部分系统程序.exe未受LPK劫持者木马影响，其余被破坏的.exe执行文件，可通过重新关注安装软件覆盖修复。目前尚无杀软件能够提取.exe文件中该木马填充的不良代码。不确定卡巴斯基是否能恢复失效的.exe程序，建议先尝试使用。

以上就是LPK劫持者：正在进行疯狂的数字劫持案的详细回复，更多请乐哥网其他相关文章！