1.LPK劫持者”木馬入侵受害者計算機后，首先會給自己創建主體程序和隨機啟動的服務項。木馬主體程序是一個隨機命名的?序“fwpfsp.exe”，它被創建到“C:WINDOWSsystem32”系統目錄下，木馬程序的圖標竟然偽裝《360安全衛士》的主程序圖標，真不要臉啊。   

2.然后在“C:WINDOWSsystem32”系統目錄下再創建兩個木馬動態鏈接庫程序“hra32.dll”和“hra33.dll”，然后將它們插入到木馬主體進程“fwpfsp.exe”去運行。  

3.給木馬主體程序“fwpfsp.exe”創建一個隨機命名的服務項來隨機自動啟動，本次測試創建的木馬服務項的名稱是“Nationalkdu”。  

4.之后“LPK劫持者”木馬將自身“fwpfsp.exe”復制到用戶臨時文件“C:Documents and SettingsAdministrator（受害者的用戶名）Local SettingsTemp”目錄下并重命名為“hrl*.tmp”，再調入到內存中去運行。“hrl*.tmp”運行后，會彈出標題名為“AntiVirus”的窗體，內存中有幾個“hrl*.tmp”運行就會彈出幾個來?“AntiVirus”英文翻譯過來是“殺毒軟件”的意思，由于該木馬本來模仿的就是《360安全衛士》的主程序圖標。所以懂英語的受害者在不知情的情況下，還以為這是《360安全衛士》的彈窗。

5.“*”代表數字依次按照數學順序排列，例如“hrl1.tmp”、“hrl2.tmp”、“hrl3.tmp”??   由于受害者每次重啟計算機后，隨機啟動的木馬服務運行木馬主體程序“fwpfsp.exe”之后，都會將自身“fwpfsp.exe”復制到用戶臨時文件“C:Documents and SettingsAdministrator（受害者的用戶名）Local SettingsTemp”目錄下并按照數學順序將其重命名為“hrl*.tmp”再去執行它們，然后“hrl*.tmp”運行后便會結束木馬的主體進程“fwpfsp.exe”。想到這，各位也都應該明白了為什么“LPK劫持者”木馬會創建“hrl*.tmp”來運行自己了。

一般每次重啟計算機后“LPK劫持者”木馬都會調用兩個“hrl*.tmp”到內存中去運行，例如受害者本次重啟計算機后檢測到上次創建的兩個病毒程序“hrl1.tmp”和“hel2.tmp”，那么第二次創建的兩個病毒程序就是“hrl3.tmp”和“hrl4.tmp?。所以長時間未清理臨時文件的情況下，日積月累，用戶臨時文件的文件夾目錄下會出現大量的“hrl*.tmp，占用硬盤空間。 

 6. “LPK劫持者”木馬程序“hrl*.tmp”運行后，會開啟“8090”端口連接黑客服務器將用戶隱私信息發送給黑客，而且隨時接受黑客的命令下載其它的病毒和木馬，在“命令提示符”里面輸入DOS命令“NETSTAT /A /N”查看木馬開啟的端口和連接黑客服務器的IP地址。 

7 . 還會破壞受害者的計算機，最明顯的破壞行為就是全盤破壞“.exe”可執行程序和全盤惡意劫持動態鏈接庫程序“lpk.dll”。 

 8. 調用 MS-DOS 操作系統 程序“fine.exe”使用DOS命令全盤查找擴展名為“.exe”的可執行程序程序，在系統臨時文件“C:WINDOWSTemp”目錄下創建一個名稱為“IRA***.tmp”的文件夾，“***”為隨機數字，本次文件名是“IRA910.tmp”。然后將找到后的?.exe”可執行程序復制到該文件夾目錄下，對注入惡意代碼，再把已注入惡意代碼的“.exe”可執行程序放回原有目錄下覆蓋正常的“.exe”可執行程序。 

9.  通過《eXeScope》這個軟件工具查看對比一下某個應用軟件的主程序“.exe”被“LPK劫持者”木馬破壞的前后！很明顯，被“LPK劫持者”木馬破壞的“.exe”可執行程序都被惡意添加了一個名稱為“.adate”的段。 

  并在這些“.exe”可執?程序的當前目錄下創建一個名稱為“lpk.dll”的木馬動態鏈接庫程序。為什么在每個應用程序的文件夾目錄下創建一個木馬的“lpk.dll”呢？這就是“DLL劫持”技術。 

 10. 因為“LPK劫持者”木馬利用了 Windows 系統 的運行規則，將眾多應用程序運行時需要加載的系統動態鏈接庫程序“lpk.dll”偽裝創建在這些應用程序的安裝目錄下。如果在運行某個程序時，這個程序存在“DLL劫持漏洞”，也就是沒有設計“lpk.dll”動態鏈接庫程序?指定系統加載路徑：“%SystemRoot%system32lpk.dll”，那么 Windows 操作系統 的默認搜索方式會先將當前目錄下木馬的動態鏈接庫程序“lpk.dll”插入到進程中運行，再去“C:WINDOWSsystem32”系統目錄下搜索系統的動態鏈接庫程序“lpk.dll”插入到進程中運行。 

  這是 Windows 操作系統 DLL動態鏈接庫程序的加載順序：“1.應用程序所在目錄 =》2.當前工作目錄 =》3.系統目錄 =》4.Windows?錄 =》5.環境變量指定的目錄”。 

  “LPK劫持者”木馬在每個應用程序的安裝目錄下都創建了木馬動態鏈接庫程序“lpk.dll”，也就是說全盤哪個文件夾目錄下存在“.exe”可執行程序就存在木馬動態鏈接庫程序。“lpk.dll”文件屬性均為“只讀”、“系統”和“隱藏”的文件屬性，文件大小均是“130 KB”。也就是說，感染“LPK劫持者”木馬計算機只要打開某個應用軟件就會重新釋放“LPK劫持?”木馬。 

  “LPK劫持者”木馬除了全盤劫持“lpk.dll”動態鏈接庫程序之外，還會調用 MS-DOS 操作系統 程序“fine.exe”使用DOS命令全盤查找擴展名為“.rar”和“.zip”壓縮文件，在系統臨時文件“C:WINDOWSTemp”目錄下創建一個名稱為“IRA***.tmp”的文件夾，“***”為隨機數字，本次文件名是“IRA818.tmp”。并向壓縮包內惡意添加木馬動態鏈接庫程序“lpk.dll”，就是惡意利用《WinRAR》壓縮軟件的“rar.exe”將木馬動?鏈接庫程序“lpk.dll”壓縮添加到“.rar”和“.zip”壓縮文件中，這也解釋了為什么感染“LPK劫持者”木馬后會出現大量的“rar.exe”進程。然后將已被惡意添加木馬動態鏈接庫程序“lpk.dll”的“.rar”和“.zip”壓縮文件放回原有目錄下覆蓋正常的“.rar”或“.zip”壓縮文件。這樣以后受害者解壓縮某些應用軟件的同時也會把“lpk.dll”一起解壓縮出來，再運行這個軟件后同樣會重新釋放“LPK劫持者”木馬。 

  11.這是感染“LPK劫持者”木馬后的“任務管理器”進程截圖，會出現大量的“fine.exe”和“cmd.exe”還有“hrl*.tmp”進程。 

 12. 被“LPK劫持者”木馬全盤感染的“.exe”可執行程序并不是像“威金”病毒那樣將自身捆綁到程序中運行后會重新釋放病毒，而是注入一種破壞命令代碼，就是諾在當前目錄下檢測不到木馬動態鏈接庫程序“lpk.dll”就不運行。所以，當把木馬在某些應用軟件安裝目錄下惡意添加的木馬動態鏈接庫“lpk.dll”刪掉后，這個應用軟件的主程序“.exe”打開后將不運行-----無響應。 

[本文摘自網絡]