关注恶意软件：

名称：lpk劫持木马（Trojan.Win32.MicroFake.ba）

大小：46.0 KB

是否加壳：否

影响的平台：WIN9X/ME/NT/2000/XP/2003/Vista/Win7

创建文件：

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hrl%u.tmp lpk.dll

修改注册表：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Distribucxm]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=C:\WINDOWS\system32\xxxxxx(随机文件名).exe
"DisplayName"="Distribufcp Transaction Coordinator Service"
"ObjectName"="LocalSystem"
"Description"="Distribuvcq Transaction Coordinator Service."

行为描述：

Windows应用程序需要调用lpk.dll时，首先会从当前目录下检查lpk.dll，如果存在则调用当前目录下的lpk.dll，该恶意程序正是利用系统此特性来执行恶意代码。
运行时首先找到自己的资源，创建hrl1.tmp并执行。
接下来判创建线程判断磁盘类型，如果是本地硬盘或移动硬盘则继续创建线程。
查找扩展名为EXE的文件，如果找到则在该目录中创建恶意lpk.dll。
查找扩展名为RAR和ZIP的文件，并且向压缩包内添加恶意lpk.dll。
最后得到系统lpk.dll的导出表，并写入到自己的导出表内，以便实现恶意功能的同时也能够实现系统功能。
导出表如下：
LpkDllInitialize
LpkDrawTextEx
LpkEditControl
LpkExtTextOut
LpkGetCharacterPlacement
LpkGetTextExtentExPoint
LpkInitialize
LpkPSMTextOut
LpkTabbedTextOut
LpkUseGDIWidthCache
ftsWordBreak

hrl1.tmp会注册系统服务，名称为“Distribufcp Transaction Coordinator Service”，指向system32目录下的随机文件名。
之后，恶意程序会将用户信息发送至黑客、接收黑客命令、下载文件等。

?

专家预防建议:

1.建立良好的安全习惯，不打开可疑邮件和可疑网站。

2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。

4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。

6.为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的