LPK病毒
1、病毒簡介
LPK類病毒是指僞裝成系統檔案lpk.dll的木馬病毒,受影響系統為微軟Windows。LPK類病毒通常會釋放自身病毒體lpk.dll到所有的程序檔案夾中,由于Windows優先加載程序目前檔案夾中的lpk.dll,導緻了類似全盤感染的現象。
2、病毒危害
感染LPK類病毒的主機通常性能會大大下降,可能有大量的病毒程序占用系統資源,主機上的安全軟體、辦公軟體、遊戲應用也有可能受影響而不可用。
LPK類病毒的目的在于長期控制受害者主機,竊取使用者重要資訊(含個人銀行賬号、郵箱密碼、遊戲賬号等),下載下傳并給使用者安裝不必要的流氓或惡意軟體,以賺取廣告流量費用,或作為DDoS終端,或作為可控肉機出售。
實際上,感染LPK類病毒已經意味着主機處于高風險之中,最好及時清理以減少不必要的損失。
3、終端驗證
1、檔案
整個磁盤,隻要有可執行檔案exe的目錄,就有lpk.dll釋放到該目錄下(是以此類病毒相當頑固,稍有不慎就漏殺,隻要普通可執行檔案下有該lpk.dll即可激活病毒),用everything搜尋即可看到:
2、網絡
LPK類病毒的網絡行為包括但不限于如下:
連接配接遠端控制伺服器,接收C&C指令;竊取使用者賬号密碼,發到控制端;下載下傳各種惡意軟體或廣告軟體,劫持流量,篡改首頁;可能作為DDoS終端,對外發起攻擊
通過抓包,發現某種LPK類病毒的接入位址為dingtao333.3322.org,
威脅情報顯示,而 3322.org 是一個常見的病毒或C&C伺服器接入位址。
4、清除處理
1、使用EDR在感染病毒的電腦上進行全盤掃描清除,清除結束後重新開機計算機,并檢查重新開機後是否有其他新的檔案或程序生成。
2、使用專殺工具
LPK類病毒是相對頑固的木馬病毒,這裡建議同時使用殺軟和LPK專殺工具進行清除,并且最好是全盤掃描。推薦使用防毒軟體進行全盤掃描,主要是防止LPK類病毒已經給感染主機種上了其它的病毒。
常見的殺軟很多,這裡推薦下火絨的:火絨安全
LPK專殺工具,可以使用瑞星的:http://dl.rising.com.cn/VirusTools/2011-08-17/9599.html
3、更為保守的處理
LPK類病毒有不同變種,黑客與時俱進,不斷的加強和完善該病毒的各項能力。是否還有些不為人知的特殊技能,輕松躲過專殺工具,還不得而知。
而且LPK類病毒釋放的檔案衆多,殺毒工具或專殺工具能否徹底清除并修複幹淨,仍有一定的可能性(雖然不幹淨的可能性非常小)。如果對主機的安全風險有更高的要求,建議隻把文檔檔案複制出來(所有的二進制檔案均抛棄不要),然後重裝系統,這樣要來得更安全些。