当前位置:找DLL下载站系统新闻系统问答DLL问答 → 关于LPK.DLL木马病毒的问题,如何处理!

关于LPK.DLL木马病毒的问题,如何处理!

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2012/4/7 6:42:22

lpk.dll病毒分析

       该样本是使用“VC”编写的盗号木马,采用“NSpack”加壳方式,企图躲避特征码扫描,加壳后长度为“16,936 字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为盗取网络游戏帐号密码等信息。

中毒症状

       用户中毒后,会出现游戏无故关闭,输入用户名密码时,电脑运行速度缓慢,Windows软件无故报错等现象。 它是一种杀毒软件很难清除的一种木马,会随着系统启动而启动,会自动生成文件到系统目录或是程序目录,有可能还会在RAR文件目录中生成,一般杀毒软件查杀到RAR里面有此文件会提示删除文件而导致客户的文件丢失。如果发现电脑中几乎所有的目录都存在lpk.dll,甚至压缩包中也存在,则极有可能中了利用操作系统自动加载lpk的蠕虫(而且是木马)。

感染对象

       Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、下载器下载

病毒分析

(1)查看注册表,如果找到游戏安装目录
(2)复制%SystemRoot%\system32\LPK.DLL到游戏目录,并命名为elementQPW.dll,再在游戏目录释放QPWGameRecord.dll和LPK.dll,使游戏启动时自动加载病毒动态库
(3)遍历进程,如果发现avp.exe和KVMonXP.exe进程,移动自身为%Temp%\wlwzsystem.gif,结束进程
(4)释放%Temp%\elementwlwz.dll,然后加载,设置钩子
(5)移动自身为%Temp%\wlwzsystem.gif
(6)截获密码并发送到指定网站

病毒清除方案

手动删除以下文件: [游戏安装目录]\elementQPW.dll [游戏安装目录]\QPWGameRecord.dll [游戏安装目录]\LPK.dll %Temp%\wlwzsystem.gif %Temp%\elementwlwz.dll 或是下载lpk.dll专杀软件来实现