近期,利用正常软件加载病毒的案例频繁出现,相信这种问题存在于大量的软件中,因此这种利用包含大型正常软件来启动恶意病毒方式将会越来越多,看来白名单策略很快就得去除数字签名了。下面是一个利用正常迅雷程序加载病毒(伪XLBugReport.exe)的案例,同样是加载的模块/程序没有检查有效性。
1、病毒特征
runonce下面存在一个名为系统安全模块(停止可能会引起系统崩溃)的启动项目,指向文件system32.exe,路径为D:\Windows Media Player\Program Files.运行system32.exe最终将调用XLBugReport.exe执行。
|
2、病毒加载原理
首先开机启动以后通过runonce启动项目启动程序system32.exe(ThunderService,带迅雷数字签名),该文件回去加载模块XLBugHandler.dll(应该是错误收集的一个功能模块,带迅雷数字签名),该模块加载以后捕获到程序异常然后生成dump文件,接着调用XLBugReport.exe准备上传生成的dump文件,因为程序没有检查XLBugReport.exe的有效性导致直接加载了伪装的XLBugReport.exe文件,从而导致用户电脑中毒。
3、伪XLBugReport.exe主要行为
(1)修改常见浏览器的配置文件,将主页修改为流氓作者制定的网址导航 hxxp://www.01169.com/?vip
|
(2)删除桌面快捷方式:
其他流氓软件创建的快捷方式:Internet Explorer.url,淘宝商城.lnk
安全软件快捷方式:360安全卫士.lnk,360软件管家.lnk,360杀毒.lnk,瑞星杀毒软件.lnk,修复瑞星软件.lnk,账号保险柜.lnk
其他浏览器快捷方式;Mozilla Firefox.lnk
(3)创建桌面恶意图标
淘宝-购物.lnk
目标:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" C:\WINDOWS\web\Index.htm
Internet Explorer.lnk
(4)创建名为系统安全模块(停止可能会引起系统崩溃)的开机启动项目
|
【编辑推荐】