病毒傳播新趨勢(shì) 正常軟件加載病毒
近期,利用正常軟件加載病毒的案例頻繁出現(xiàn),相信這種問題存在于大量的軟件中,因此這種利用包含大型正常軟件來啟動(dòng)惡意病毒方式將會(huì)越來越多,看來白名單策略很快就得去除數(shù)字簽名了。下面是一個(gè)利用正常迅雷程序加載病毒(偽XLBugReport.exe)的案例,同樣是加載的模塊/程序沒有檢查有效性。
1、病毒特征
runonce下面存在一個(gè)名為系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)的啟動(dòng)項(xiàng)目,指向文件system32.exe,路徑為D:\Windows Media Player\Program Files.運(yùn)行system32.exe最終將調(diào)用XLBugReport.exe執(zhí)行。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
<系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)> <D:\Windows Media Player\Program Files\system32.exe>
[(Verified)深圳市迅雷網(wǎng)絡(luò)技術(shù)有限公司, 1, 0, 2, 50]
File: system32.exe
Size: 579272 bytes
File Version: 1, 0, 2, 50
簽名公司:ShenZhen Thunder Networking Technologies Ltd.
簽名時(shí)間:2009?年11月5日 11:39:06
Modified: 2010年11月15日, 13:28:22
MD5: FB58BD8118A7D7251179C276651DF7DB
SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E
CRC32: AFB22F51
#p#
2、病毒加載原理
首先開機(jī)啟動(dòng)以后通過runonce啟動(dòng)項(xiàng)目啟動(dòng)程序system32.exe(ThunderService,帶迅雷數(shù)字簽名),該文件回去加載模塊XLBugHandler.dll(應(yīng)該是錯(cuò)誤收集的一個(gè)功能模塊,帶迅雷數(shù)字簽名),該模塊加載以后捕獲到程序異常然后生成dump文件,接著調(diào)用XLBugReport.exe準(zhǔn)備上傳生成的dump文件,因?yàn)槌绦驔]有檢查XLBugReport.exe的有效性導(dǎo)致直接加載了偽裝的XLBugReport.exe文件,從而導(dǎo)致用戶電腦中毒。
#p#
3、偽XLBugReport.exe主要行為
(1)修改常見瀏覽器的配置文件,將主頁修改為流氓作者制定的網(wǎng)址導(dǎo)航 hxxp://www.01169.com/?vip
TtConf.dat(騰訊TT瀏覽器)
360se.ini(360瀏覽器)
TheWorld.ini(世界之窗瀏覽器)
(2)刪除桌面快捷方式:
其他流氓軟件創(chuàng)建的快捷方式:Internet Explorer.url,淘寶商城.lnk
安全軟件快捷方式:360安全衛(wèi)士.lnk,360軟件管家.lnk,360殺毒.lnk,瑞星殺毒軟件.lnk,修復(fù)瑞星軟件.lnk,賬號(hào)保險(xiǎn)柜.lnk
其他瀏覽器快捷方式;Mozilla Firefox.lnk
(3)創(chuàng)建桌面惡意圖標(biāo)
淘寶-購(gòu)物.lnk
目標(biāo):"C:\Program Files\Internet Explorer\IEXPLORE.EXE" C:\WINDOWS\web\Index.htm
Internet Explorer.lnk
(4)創(chuàng)建名為系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)的開機(jī)啟動(dòng)項(xiàng)目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
"系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)"="D:\\Windows Media Player\\Program Files\\system32.exe"
【編輯推薦】
