此文章作者戴泽淳,翻版必究。 

   暑假到了,感觉每天很空虚,有一天,发现一个有趣的事情,所以用日志形式记录下来,在备战全国软考网络工程师的闲暇之余,还不忘搞我的***工具,突然有一次发现我的VMware Workstation这个虚拟工作环境里的windowsserver 2003操作系统里的文件有很多lpk.dll这种相同文件名的文件,然后跟一些业余人员一样,一开始还是用360安全杀毒来扫描一下,才发现这个名称为lpk.dll的文件是***,当时感觉很惊讶,也很好奇,因为扫出了300多个这种lpk.dll的文件,而且文件名都一样,并且在不同的路径里,当时,根据我的判断,这种文件绝对不止300多个,因为有一定知识的人都会知道,杀毒软件并不能查杀所有病毒,所以,我打开我的电脑,然后开始搜索lpk.dll这种文件,看看有多少个一样文件名的***,扫出了600多个,当时震惊了,因为这也许是我看到过的比较大场面的***吧,我先来稍微解释一下,lpk.dll原来是工作在WINDOWS目录下的系统文件,但是由于病毒的伪装和感染,所以lpk.dll成为了***,而且这种***为盗号***,这感觉已经够惊讶了,我虚拟机里竟然有不少于600个盗号***,更加严重的事情是:这种盗号***不仅有盗号的功能,而且还有蠕虫病毒的特性,可以不断繁殖,我试着准备删除这种文件,但是拒绝访问,删除不成功,我此刻想:就算删除这种文件,它也会继续变多,而且关键是无法删除,360安全卫士即使能扫描出300多个,但是仅此而已,什么都干不了,清除失败,然后又想了想,记得我之前说过lpk.dll是系统文件,所以由此想到了几个严重影响:1 病毒还在不断变多,无限的繁殖。2 无法删除,拒绝访问。3 假设我虚拟机里有600个lpk.dll这种文件,599个是病毒,1个是系统文件,怎么才能区分病毒和系统文件,而且文件名都是一样的,杀毒软件也不能完全扫描出全部病毒。我想要解决这3个问题比较繁琐,但是看我解决步骤:先搜索出磁盘里所有lpk.dll这种文件,假设有600个,那里面肯定有一个文件是系统文件我们用排除的方法,先看文件的大小来判断,lpk.dll系统文件大小是22KB,这样可以排除大部分***,因为只要不是22KB大小的lpk.dll文件全部都是***文件,然后我排除了597个,只剩下3个文件,因为这3个文件,大小都是22KB,而且文件名都是lpk.dll,现在就看文件的创建时间,系统文件的创建时间一定要比病毒文件创建时间要早很多,然后经过对比,只剩下个2个文件了,因为那个病毒文件的创建时间为2012年,直接排除,还有个病毒文件和我系统文件的创建日期丝毫不差,而且那个病毒还在不断繁殖,这使我犯了难,然后,我想了想360杀毒软件虽然只能扫描出部分的300多个病毒,但是不见得扫描不出来这个文件是不是病毒,而且系统文件肯定不会报错的,然后我用360扫描出来,终于系统文件被我找到了,但是问题还没有解决,因为即使找到了系统问题,但是这种蠕虫病毒还在不断扩散、繁殖,而且360杀毒软件束手无策,然后在网上找到了lpk.dll***专杀工具,非常心奋,下载之后立即全盘查杀,然后终于清除了一大部分***,但是一小部分由于是变种的病毒还是没有办法查杀成功,然后用文件粉碎机粉碎部分***文件,还有很重要的一点,一定要把那个lpk.dll的系统文件隔离,免得再次被病毒感染。然后还有屈指可数的顽固病毒,但就将它们隔离磁盘,最后也许清除不了所有的病毒,但是控制了绝大部分,并且破坏了这种蠕虫的这种复制能力,所以,不必要担心剩下的几个病毒的危害。据说,这种病毒最新的自制人寒冰(江志鹏)还利用老的病毒的改造,还加入了远控,现在一般杀毒软件无法完全清除此类病毒,不由得感叹道:真是道高一尺,魔高一丈。