利用ｌｐｋ劫持方式傳播的惡意后門(mén)程序感染數(shù)量增加

2011年10月31日 13:49

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)，利用ｌｐｋ劫持方式傳播的惡意后門(mén)程序感染數(shù)量有所增加。

　　這類(lèi)程序能通過(guò)感染ｌｐｋ．ｄｌｌ實(shí)現(xiàn)對(duì)可執(zhí)行文件（．ｅｘｅ）的劫持，具有感染性強(qiáng)、難于清除等特點(diǎn)，其典型特征是感染存在可執(zhí)行文件的目錄，并隱藏自身，刪除后會(huì)再次生成，當(dāng)同目錄中的ｅｘｅ文件運(yùn)行時(shí)，ｌｐｋ．ｄｌｌ就會(huì)被Ｗｉｎｄｏｗｓ動(dòng)態(tài)鏈接，從而激活病毒，導(dǎo)致其不能被徹底刪除。

　　專(zhuān)家說(shuō)，該類(lèi)惡意后門(mén)程序有如下特征：

　　一、通過(guò)文件夾選項(xiàng)的設(shè)置顯示出所有隱藏文件，包括操作系統(tǒng)文件，然后全盤(pán)搜索ｌｐｋ．ｄｌｌ，這時(shí)會(huì)發(fā)現(xiàn)很多目錄下都存在ｌｐｋ．ｄｌｌ文件，大小一致，屬性為隱藏。

　　二、在受感染操作系統(tǒng)中的Ｔｅｍｐ目錄下生成許多ｔｍｐ格式的文件，大小一致，命名有一定規(guī)律。從文件后綴來(lái)看，這些文件似乎是臨時(shí)文件，但其實(shí)是ＰＥ格式，并不是普通的ｔｍｐ文件。

　　三、在受感染操作系統(tǒng)中系統(tǒng)進(jìn)程中，瀏覽器進(jìn)程ｅｘｐｌｏｒｅｒ．ｅｘｅ等很多進(jìn)程下加載了ｌｐｋ．ｄｌｌ文件。

　　專(zhuān)家說(shuō)，受感染操作系統(tǒng)中并不是ｌｐｋ．ｄｌｌ文件都是惡意后門(mén)程序，正常系統(tǒng)中本身就會(huì)存在ｌｐｋ．ｄｌｌ文件，它是微軟操作系統(tǒng)的語(yǔ)言包。

　　針對(duì)已經(jīng)感染該后門(mén)程序的計(jì)算機(jī)用戶(hù)，專(zhuān)家建議立即升級(jí)系統(tǒng)中的防病毒軟件，進(jìn)行全面殺毒。對(duì)未感染的用戶(hù)建議打開(kāi)系統(tǒng)中防病毒軟件的“系統(tǒng)監(jiān)控”功能，從注冊(cè)表、系統(tǒng)進(jìn)程、內(nèi)存、網(wǎng)絡(luò)等多方面對(duì)各種操作進(jìn)行主動(dòng)防御。

（編輯：Jesse）

聯(lián)系我們

郵編

100083

郵箱

ISC@isc.org.cn

地址

北京市海淀區(qū)學(xué)院路42號(hào)院
綜合部(黨群部)

010-57234929-1056

財(cái)務(wù)人事部

010-57234929-1112

宣傳部

010-57234929-1002、010-57234929-1003

網(wǎng)民權(quán)益保護(hù)部

010-57234929-1012

研究部(標(biāo)準(zhǔn)工作辦公室)

010-57234929-1039、010-57234929-1038

中國(guó)互聯(lián)網(wǎng)大會(huì)專(zhuān)班

18810622280
國(guó)際部

010-57234929-1128、010-57234929-1127

會(huì)員部

010-57234929-1120、1121、1122、1123、1125

監(jiān)管支撐部

010-57234929-1027

產(chǎn)業(yè)促進(jìn)部

010-57234929-1032、 010-57234929-1059

創(chuàng)新發(fā)展與人才工作部

010-57234929-1052、010-57234929-1053

北京中互網(wǎng)來(lái)信息技術(shù)有限公司

13910986745