近期，利用正常軟件加載病毒的案例頻繁出現，相信這種問題存在于大量的軟件中，因此這種利用包含大型正常軟件來啟動惡意病毒方式將會越來越多，看來白名單策略很快就得去除數字簽名了。下面是一個利用正常迅雷程序加載病毒（偽XLBugReport.exe）的案例，同樣是加載的模塊/程序沒有檢查有效性。

1、病毒特征

runonce下面存在一個名為系統安全模塊(停止可能會引起系統崩潰)的啟動項目，指向文件system32.exe，路徑為D:\Windows Media Player\Program Files.運行system32.exe最終將調用XLBugReport.exe執行。

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 

<系統安全模塊(停止可能會引起系統崩潰)>  
 
[(Verified)深圳市迅雷網絡技術有限公司, 1, 0, 2, 50]  

File: system32.exe 

Size: 579272 bytes 

File Version: 1, 0, 2, 50 

簽名公司：ShenZhen Thunder Networking Technologies Ltd. 

簽名時間：2009?年11月5日 11:39:06 

Modified: 2010年11月15日, 13:28:22 

MD5: FB58BD8118A7D7251179C276651DF7DB 

SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E 

CRC32: AFB22F51  

2、病毒加載原理

首先開機啟動以后通過runonce啟動項目啟動程序system32.exe（ThunderService，帶迅雷數字簽名），該文件回去加載模塊XLBugHandler.dll（應該是錯誤收集的一個功能模塊，帶迅雷數字簽名），該模塊加載以后捕獲到程序異常然后生成dump文件，接著調用XLBugReport.exe準備上傳生成的dump文件，因為程序沒有檢查XLBugReport.exe的有效性導致直接加載了偽裝的XLBugReport.exe文件，從而導致用戶電腦中毒。

3、偽XLBugReport.exe主要行為

（1）修改常見瀏覽器的配置文件，將主頁修改為流氓作者制定的網址導航 hxxp://www.01169.com/?vip

TtConf.dat（騰訊TT瀏覽器） 

360se.ini（360瀏覽器） 

TheWorld.ini（世界之窗瀏覽器）  

（2）刪除桌面快捷方式：

其他流氓軟件創建的快捷方式：Internet Explorer.url，淘寶商城.lnk

安全軟件快捷方式：360安全衛士.lnk，360軟件管家.lnk，360殺毒.lnk，瑞星殺毒軟件.lnk，修復瑞星軟件.lnk，賬號保險柜.lnk

其他瀏覽器快捷方式;Mozilla Firefox.lnk

（3）創建桌面惡意圖標

淘寶-購物.lnk

目標："C:\Program Files\Internet Explorer\IEXPLORE.EXE" C:\WINDOWS\web\Index.htm

Internet Explorer.lnk

（4）創建名為系統安全模塊(停止可能會引起系統崩潰)的開機啟動項目

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 

"系統安全模塊(停止可能會引起系統崩潰)

"="D:\\Windows Media Player\\Program Files\\system32.exe"

【編輯推薦】

1. 軟件行業爆最大“流感” 百萬用戶速成病毒攜帶者
2. AV終結者病毒現象以及傳播方式與防范措施