1.LPK劫持者”木馬入侵受害者計算機后，首先會給自己創(chuàng)建主體程序和隨機啟動的服務(wù)項。木馬主體程序是一個隨機命名的?序“fwpfsp.exe”，它被創(chuàng)建到“C:WINDOWSsystem32”系統(tǒng)目錄下，木馬程序的圖標竟然偽裝《360安全衛(wèi)士》的主程序圖標，真不要臉啊。   

2.然后在“C:WINDOWSsystem32”系統(tǒng)目錄下再創(chuàng)建兩個木馬動態(tài)鏈接庫程序“hra32.dll”和“hra33.dll”，然后將它們插入到木馬主體進程“fwpfsp.exe”去運行。  

3.給木馬主體程序“fwpfsp.exe”創(chuàng)建一個隨機命名的服務(wù)項來隨機自動啟動，本次測試創(chuàng)建的木馬服務(wù)項的名稱是“Nationalkdu”。  

4.之后“LPK劫持者”木馬將自身“fwpfsp.exe”復(fù)制到用戶臨時文件“C:Documents and SettingsAdministrator（受害者的用戶名）Local SettingsTemp”目錄下并重命名為“hrl*.tmp”，再調(diào)入到內(nèi)存中去運行。“hrl*.tmp”運行后，會彈出標題名為“AntiVirus”的窗體，內(nèi)存中有幾個“hrl*.tmp”運行就會彈出幾個來?“AntiVirus”英文翻譯過來是“殺毒軟件”的意思，由于該木馬本來模仿的就是《360安全衛(wèi)士》的主程序圖標。所以懂英語的受害者在不知情的情況下，還以為這是《360安全衛(wèi)士》的彈窗。

5.“*”代表數(shù)字依次按照數(shù)學順序排列，例如“hrl1.tmp”、“hrl2.tmp”、“hrl3.tmp”??   由于受害者每次重啟計算機后，隨機啟動的木馬服務(wù)運行木馬主體程序“fwpfsp.exe”之后，都會將自身“fwpfsp.exe”復(fù)制到用戶臨時文件“C:Documents and SettingsAdministrator（受害者的用戶名）Local SettingsTemp”目錄下并按照數(shù)學順序?qū)⑵渲孛麨椤癶rl*.tmp”再去執(zhí)行它們，然后“hrl*.tmp”運行后便會結(jié)束木馬的主體進程“fwpfsp.exe”。想到這，各位也都應(yīng)該明白了為什么“LPK劫持者”木馬會創(chuàng)建“hrl*.tmp”來運行自己了。

一般每次重啟計算機后“LPK劫持者”木馬都會調(diào)用兩個“hrl*.tmp”到內(nèi)存中去運行，例如受害者本次重啟計算機后檢測到上次創(chuàng)建的兩個病毒程序“hrl1.tmp”和“hel2.tmp”，那么第二次創(chuàng)建的兩個病毒程序就是“hrl3.tmp”和“hrl4.tmp?。所以長時間未清理臨時文件的情況下，日積月累，用戶臨時文件的文件夾目錄下會出現(xiàn)大量的“hrl*.tmp，占用硬盤空間。 

 6. “LPK劫持者”木馬程序“hrl*.tmp”運行后，會開啟“8090”端口連接黑客服務(wù)器將用戶隱私信息發(fā)送給黑客，而且隨時接受黑客的命令下載其它的病毒和木馬，在“命令提示符”里面輸入DOS命令“NETSTAT /A /N”查看木馬開啟的端口和連接黑客服務(wù)器的IP地址。 

7 . 還會破壞受害者的計算機，最明顯的破壞行為就是全盤破壞“.exe”可執(zhí)行程序和全盤惡意劫持動態(tài)鏈接庫程序“l(fā)pk.dll”。 

 8. 調(diào)用 MS-DOS 操作系統(tǒng) 程序“fine.exe”使用DOS命令全盤查找擴展名為“.exe”的可執(zhí)行程序程序，在系統(tǒng)臨時文件“C:WINDOWSTemp”目錄下創(chuàng)建一個名稱為“IRA***.tmp”的文件夾，“***”為隨機數(shù)字，本次文件名是“IRA910.tmp”。然后將找到后的?.exe”可執(zhí)行程序復(fù)制到該文件夾目錄下，對注入惡意代碼，再把已注入惡意代碼的“.exe”可執(zhí)行程序放回原有目錄下覆蓋正常的“.exe”可執(zhí)行程序。 

9.  通過《eXeScope》這個軟件工具查看對比一下某個應(yīng)用軟件的主程序“.exe”被“LPK劫持者”木馬破壞的前后！很明顯，被“LPK劫持者”木馬破壞的“.exe”可執(zhí)行程序都被惡意添加了一個名稱為“.adate”的段。 

  并在這些“.exe”可執(zhí)?程序的當前目錄下創(chuàng)建一個名稱為“l(fā)pk.dll”的木馬動態(tài)鏈接庫程序。為什么在每個應(yīng)用程序的文件夾目錄下創(chuàng)建一個木馬的“l(fā)pk.dll”呢？這就是“DLL劫持”技術(shù)。 

 10. 因為“LPK劫持者”木馬利用了 Windows 系統(tǒng) 的運行規(guī)則，將眾多應(yīng)用程序運行時需要加載的系統(tǒng)動態(tài)鏈接庫程序“l(fā)pk.dll”偽裝創(chuàng)建在這些應(yīng)用程序的安裝目錄下。如果在運行某個程序時，這個程序存在“DLL劫持漏洞”，也就是沒有設(shè)計“l(fā)pk.dll”動態(tài)鏈接庫程序?指定系統(tǒng)加載路徑：“%SystemRoot%system32lpk.dll”，那么 Windows 操作系統(tǒng) 的默認搜索方式會先將當前目錄下木馬的動態(tài)鏈接庫程序“l(fā)pk.dll”插入到進程中運行，再去“C:WINDOWSsystem32”系統(tǒng)目錄下搜索系統(tǒng)的動態(tài)鏈接庫程序“l(fā)pk.dll”插入到進程中運行。 

  這是 Windows 操作系統(tǒng) DLL動態(tài)鏈接庫程序的加載順序：“1.應(yīng)用程序所在目錄 =》2.當前工作目錄 =》3.系統(tǒng)目錄 =》4.Windows?錄 =》5.環(huán)境變量指定的目錄”。 

  “LPK劫持者”木馬在每個應(yīng)用程序的安裝目錄下都創(chuàng)建了木馬動態(tài)鏈接庫程序“l(fā)pk.dll”，也就是說全盤哪個文件夾目錄下存在“.exe”可執(zhí)行程序就存在木馬動態(tài)鏈接庫程序。“l(fā)pk.dll”文件屬性均為“只讀”、“系統(tǒng)”和“隱藏”的文件屬性，文件大小均是“130 KB”。也就是說，感染“LPK劫持者”木馬計算機只要打開某個應(yīng)用軟件就會重新釋放“LPK劫持?”木馬。 

  “LPK劫持者”木馬除了全盤劫持“l(fā)pk.dll”動態(tài)鏈接庫程序之外，還會調(diào)用 MS-DOS 操作系統(tǒng) 程序“fine.exe”使用DOS命令全盤查找擴展名為“.rar”和“.zip”壓縮文件，在系統(tǒng)臨時文件“C:WINDOWSTemp”目錄下創(chuàng)建一個名稱為“IRA***.tmp”的文件夾，“***”為隨機數(shù)字，本次文件名是“IRA818.tmp”。并向壓縮包內(nèi)惡意添加木馬動態(tài)鏈接庫程序“l(fā)pk.dll”，就是惡意利用《WinRAR》壓縮軟件的“rar.exe”將木馬動?鏈接庫程序“l(fā)pk.dll”壓縮添加到“.rar”和“.zip”壓縮文件中，這也解釋了為什么感染“LPK劫持者”木馬后會出現(xiàn)大量的“rar.exe”進程。然后將已被惡意添加木馬動態(tài)鏈接庫程序“l(fā)pk.dll”的“.rar”和“.zip”壓縮文件放回原有目錄下覆蓋正常的“.rar”或“.zip”壓縮文件。這樣以后受害者解壓縮某些應(yīng)用軟件的同時也會把“l(fā)pk.dll”一起解壓縮出來，再運行這個軟件后同樣會重新釋放“LPK劫持者”木馬。 

  11.這是感染“LPK劫持者”木馬后的“任務(wù)管理器”進程截圖，會出現(xiàn)大量的“fine.exe”和“cmd.exe”還有“hrl*.tmp”進程。 

 12. 被“LPK劫持者”木馬全盤感染的“.exe”可執(zhí)行程序并不是像“威金”病毒那樣將自身捆綁到程序中運行后會重新釋放病毒，而是注入一種破壞命令代碼，就是諾在當前目錄下檢測不到木馬動態(tài)鏈接庫程序“l(fā)pk.dll”就不運行。所以，當把木馬在某些應(yīng)用軟件安裝目錄下惡意添加的木馬動態(tài)鏈接庫“l(fā)pk.dll”刪掉后，這個應(yīng)用軟件的主程序“.exe”打開后將不運行-----無響應(yīng)。 

[本文摘自網(wǎng)絡(luò)]