瑞星專家：lpk.dll病毒的現(xiàn)象和手工處理

siyuzhang

　lpk.dll病毒相信大家并不陌生，此類病毒已經(jīng)流行有一段時(shí)間了，對應(yīng)的專殺工具也可以從網(wǎng)上搜索下載到，這足以表明該病毒的廣泛性及危險(xiǎn)性。本文對該病毒進(jìn)行了行為分析，并向您呈現(xiàn)了手動(dòng)處理的全部過程。
　　瑞星專家指出：并不是所有l(wèi)pk.dll文件都是病毒。正常系統(tǒng)中本身就會(huì)存在lpk.dll文件，它是微軟操作系統(tǒng)的語言包，位于C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache目錄下。
　　lpk.dll病毒的典型特征是感染存在可執(zhí)行文件的目錄，并隱藏自身，刪除后又再生成，當(dāng)同目錄中的exe文件運(yùn)行時(shí)，lpk.dll就會(huì)被Windows動(dòng)態(tài)鏈接，從而激活病毒，進(jìn)而導(dǎo)致不能徹底清除。
　　所以當(dāng)發(fā)現(xiàn)磁盤很多文件夾中都存在lpk.dll文件時(shí)，那么基本可以肯定您的計(jì)算機(jī)已經(jīng)中招了。lpk.dll病毒是個(gè)惡意后門病毒，計(jì)算機(jī)染毒后會(huì)在后臺(tái)下載更多惡意程序，可造成用戶機(jī)器被遠(yuǎn)程控制、資料被盜等狀況。很多用戶在發(fā)現(xiàn)電腦中招后會(huì)習(xí)慣性地重裝系統(tǒng)，但重裝系統(tǒng)并不能清除非系統(tǒng)盤目錄下的lpk.dll文件，因此當(dāng)運(yùn)行其他盤符目錄下的可執(zhí)行文件時(shí)又會(huì)激活病毒，再次全盤感染，令人十分頭疼。

病毒現(xiàn)象

1) 通過文件夾選項(xiàng)的設(shè)置顯示出所有隱藏文件，包括操作系統(tǒng)文件，然后全盤搜索lpk.dll，這時(shí)會(huì)發(fā)現(xiàn)很多目錄下都存在lpk.dll文件，大小一致，屬性為隱藏。



圖1：病毒現(xiàn)象：全盤搜索發(fā)現(xiàn)很多目錄下存在有LPK.dll文件，且大小一致，屬性為隱藏。
　　
注意：全盤搜索lpk.dll時(shí)要注意勾選“搜索隱藏的文件和文件夾”，如下圖所示：



圖2：搜索時(shí)需勾選“搜索隱藏的文件和文件夾”選項(xiàng)
2) C:\Documents and Settings\Administrator\Local Settings\Temp目錄下生成許多tmp格式的文件，大小一致，命名有一定規(guī)律。從文件后綴來看，這些文件似乎是臨時(shí)文件，但其實(shí)是PE格式，并不是普通的tmp文件。



圖3：病毒現(xiàn)象：眾多有明明規(guī)范的tmp格式文件，且大小一致。

3) 使用XueTr查看系統(tǒng)進(jìn)程，explorer.exe等很多進(jìn)程下加載了lpk.dll。



處理方法
1) 把之前搜索到的lpk.dll文件全部刪除(不包括C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache目錄)。刪除C:\Documents and Settings\Administrator\Local Settings\Temp目錄下大小為36KB的hrlXX.tmp文件。

2) 某些lpk.dll刪除時(shí)會(huì)出現(xiàn)系統(tǒng)報(bào)錯(cuò)，如下圖。



圖5：刪除某些lpk.dll文件時(shí)會(huì)報(bào)錯(cuò)，是因?yàn)樵摬《疚募�已�?jīng)被激活調(diào)用。
這是由于病毒文件已經(jīng)被激活調(diào)用，普通方式無法直接刪除。這時(shí)通過XueTr可以看到刪除報(bào)錯(cuò)的lpk.dll正掛在系統(tǒng)正在運(yùn)行的進(jìn)程下，逐一找到正加載的lpk.dll，右鍵選中將其刪除。



圖6：對于這些已經(jīng)被激活調(diào)用的lpk.dll，可使用工具將其從進(jìn)程中刪除。

3) 在用XueTr逐一檢查系統(tǒng)進(jìn)程的過程中，發(fā)現(xiàn)其中一個(gè)svchost.exe進(jìn)程下加載了一個(gè)十分可疑的模塊文件hra33.dll，且無數(shù)字簽名。



圖7：某個(gè)svchost進(jìn)程下加載了可疑dll模塊。
右鍵選中查看模塊文件屬性，可以看到該文件大小也是43KB，與lpk.dll相同，創(chuàng)建日期也與lpk.dll一致。另外有沒有覺得這個(gè)文件名很熟悉？再回想一下會(huì)發(fā)現(xiàn)該文件命名與temp目錄下的hrlXX.tmp文件命名方式有異曲同工之處。綜上所述，已經(jīng)可以確定該文件與lpk.dll性質(zhì)相同，直接用XueTr刪之。



圖8：仔細(xì)查看該模塊詳細(xì)信息，可確定其為病毒文件。

4) 上述刪除操作完成后，再全盤搜索一次，會(huì)發(fā)現(xiàn)剛剛刪除的lpk.dll病毒文件又出現(xiàn)了，真是“陰魂不散”。很明顯系統(tǒng)中還存在殘余病毒體不斷釋放lpk.dll文件，還需要進(jìn)一步檢查將其徹底清除。通過XueTr檢查系統(tǒng)當(dāng)前服務(wù)，發(fā)現(xiàn)一個(gè)很可疑的服務(wù)，對應(yīng)的映像文件kkwgks.exe無數(shù)字簽名。



圖9：再次檢查系統(tǒng)服務(wù)，可發(fā)現(xiàn)這個(gè)服務(wù)對應(yīng)的文件沒有數(shù)字簽名。
查看kkwgks.exe文件屬性發(fā)現(xiàn)該文件創(chuàng)建時(shí)間與lpk.dll一致，且文件大小與Temp目錄下的hrlXX.tmp文件相同，十分可疑，直接將其刪除。



圖10：具體查看該程序，可發(fā)現(xiàn)該文件為病毒。
5) 刪除kkwgks.exe文件即結(jié)束了病毒服務(wù)，還需要執(zhí)行上面步驟1-3的刪除操作，把再次釋放的lpk.dll等文件全部清除，然后重啟電腦再全盤搜索檢查一遍，原來的病毒文件都不復(fù)存在了。

病毒行為分析
　　經(jīng)過了上面的手動(dòng)處理過程后，可以逆向思維簡單分析一下病毒行為如下。
1) 病毒運(yùn)行后會(huì)把自己拷貝到系統(tǒng)system32目錄下以隨機(jī)數(shù)命名(就是上面的kkwgks.exe)，并創(chuàng)建一個(gè)名為Nationalgnf的服務(wù)。
2) 新的服務(wù)啟動(dòng)后，利用特殊手段讓病毒映像替換svchost.exe，進(jìn)程中看到的還是svchost.exe，似乎沒有什么異樣，但此時(shí)病毒已經(jīng)將自己隱藏在svchost.exe里運(yùn)行，病毒在這里完成的功能包括：
a. 完成病毒所有的后門任務(wù);
b. 在系統(tǒng)system32目錄下生成hraXX.dll(XX是生成的隨機(jī)名);
c. 在系統(tǒng)臨時(shí)文件目錄下不斷釋放hrlXX.tmp文件(XX是生成的隨機(jī)名)，這里的hrlXX.tmp文件其實(shí)是system32下kkwgks.exe文件的備份，非常危險(xiǎn)，作用是恢復(fù)system32下被刪除的exe病毒文件;
d. 在存在可執(zhí)行文件的目錄下生成假的lpk.dll，屬性為隱藏，當(dāng)同目錄下的exe運(yùn)行時(shí)會(huì)自動(dòng)加載，激活病毒。

總結(jié)
經(jīng)過上述分析處理的過程，相信大家對于lpk.dll病毒已經(jīng)有了一定的了解。雖然這類病毒變種較多、感染性強(qiáng)、危險(xiǎn)性高，但若是真遇上了也不必驚慌，網(wǎng)上可以搜索下載到它的專殺工具，多數(shù)殺毒軟件也已將其入庫，只要借助合適的工具，通過合理的途徑，不難解決。

保護(hù)國

這個(gè)病毒我也見過，有一次我朋友就中獎(jiǎng)了

siyuzhang

都看看吧 ，這個(gè)病毒最是猖狂了，都學(xué)習(xí)下這么滅殺它

liaoliaofannao

這病毒越來越狂了