利用lpk劫持方式传播的恶意后门程序感染数量增加
2011年10月31日 13:49
国家计算机病毒应急处理中心通过对互联网的监测发现,利用lpk劫持方式传播的恶意后门程序感染数量有所增加。
这类程序能通过感染lpk.dll实现对可执行文件(.exe)的劫持,具有感染性强、难于清除等特点,其典型特征是感染存在可执行文件的目录,并隐藏自身,删除后会再次生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,导致其不能被彻底删除。
专家说,该类恶意后门程序有如下特征:
一、通过文件夹选项的设置显示出所有隐藏文件,包括操作系统文件,然后全盘搜索lpk.dll,这时会发现很多目录下都存在lpk.dll文件,大小一致,属性为隐藏。
二、在受感染操作系统中的Temp目录下生成许多tmp格式的文件,大小一致,命名有一定规律。从文件后缀来看,这些文件似乎是临时文件,但其实是PE格式,并不是普通的tmp文件。
三、在受感染操作系统中系统进程中,浏览器进程explorer.exe等很多进程下加载了lpk.dll文件。
专家说,受感染操作系统中并不是lpk.dll文件都是恶意后门程序,正常系统中本身就会存在lpk.dll文件,它是微软操作系统的语言包。
针对已经感染该后门程序的计算机用户,专家建议立即升级系统中的防病毒软件,进行全面杀毒。对未感染的用户建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。
(编辑:Jesse)
