警惕恶性木马通过DLL劫持加载控制计算机

一苇过江 · 发表于 2010-9-25 14:54:44

近日一种最新的恶意程序样本被截获，该恶意程序名为lpk劫持木马（Trojan.Win32.MicroFake.ba）。同一般常见恶意程序不同的是，此木马为了实现DLL劫持，会将其释放的恶意文件遍布系统，所以非常难以清除。

该木马利用了Windows系统下应用程序调用dll文件时的顺序规则，释放大量假冒的恶意lpk.dll到各个包含exe可执行文件的文件夹下，实现恶意dll优先被加载。不仅如此，就连RAR和ZIP文件包中也会被写入这种恶意dll文件。此外，木马还会将系统lpk.dll导出表写入到自己的导出表内，以便实现恶意功能的同时也能够实现系统功能，使得一般计算机用户很难察觉已被感染。

另外，其释放的另一个文件会注册系统服务，实现自动加载。每次计算机运行后，恶意程序就会在后台接收黑客发出的命令，并且可以下载文件，收集用户信息，发送给远程黑客。