来源:国家计算机病毒应急处理中心 时间:2011-11-01
国家计算机病毒应急处理中心通过对互联网的监测发现,利用lpk劫持方式传播的恶意后门程序感染数量有所增加,这类程序能通过感染lpk.dll实现对可执行文件(.exe)的劫持,具有感染性强,难于清除等特点。其典型特征是感染存在可执行文件的目录,并隐藏自身,删除后会再次生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致其不能被彻底删除。
该类恶意后门程序有如下特征:
1、通过文件夹选项的设置显示出所有隐藏文件,包括操作系统文件,然后全盘搜索lpk.dll,这时会发现很多目录下都存在lpk.dll文件,大小一致,属性为隐藏。
2、在受感染操作系统中的Temp目录下生成许多tmp格式的文件,大小一致,命名有一定规律。从文件后缀来看,这些文件似乎是临时文件,但其实是PE格式,并不是普通的tmp文件。
3、在受感染操作系统中系统进程中,浏览器进程explorer.exe等很多进程下加载了lpk.dll文件。
在这里提示大家,受感染操作系统中并不是所有lpk.dll文件都是恶意后门程序,正常系统中本身就会存在lpk.dll文件,它是微软操作系统的语言包。
专家提醒:
针对该类型的恶意后门程序,国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施:
(一)针对已经感染该后门程序的计算机用户,我们建议立即升级系统中的防病毒软件,进行全面杀毒。
(二)针对未感染该后门程序的计算机用户,我们建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动,达到全方位保护计算机系统安全的目的。
网站标识码:bm53290001 宁夏回族自治区地震局版权所有
网站备案号:宁ICP备14000318号