病毒传播新趋势 正常软件加载病毒

安全
本文主要介绍了正常迅雷程序加载病毒(伪XLBugReport.exe)的案例,通过这个案例向我们解释了利用正常软件加载病毒的特征,以及病毒加载原理。

近期,利用正常软件加载病毒的案例频繁出现,相信这种问题存在于大量的软件中,因此这种利用包含大型正常软件来启动恶意病毒方式将会越来越多,看来白名单策略很快就得去除数字签名了。下面是一个利用正常迅雷程序加载病毒(伪XLBugReport.exe)的案例,同样是加载的模块/程序没有检查有效性。

1、病毒特征

runonce下面存在一个名为系统安全模块(停止可能会引起系统崩溃)的启动项目,指向文件system32.exe,路径为D:\Windows Media Player\Program Files.运行system32.exe最终将调用XLBugReport.exe执行。

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 
<系统安全模块(停止可能会引起系统崩溃)>  
 
[(Verified)深圳市迅雷网络技术有限公司, 1, 0, 2, 50] 
File: system32.exe 
Size: 579272 bytes 
File Version: 1, 0, 2, 50 
签名公司:ShenZhen Thunder Networking Technologies Ltd. 
签名时间:2009?年11月5日 11:39:06 
Modified: 2010年11月15日, 13:28:22 
MD5: FB58BD8118A7D7251179C276651DF7DB 
SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E 
CRC32: AFB22F51  

2、病毒加载原理

首先开机启动以后通过runonce启动项目启动程序system32.exe(ThunderService,带迅雷数字签名),该文件回去加载模块XLBugHandler.dll(应该是错误收集的一个功能模块,带迅雷数字签名),该模块加载以后捕获到程序异常然后生成dump文件,接着调用XLBugReport.exe准备上传生成的dump文件,因为程序没有检查XLBugReport.exe的有效性导致直接加载了伪装的XLBugReport.exe文件,从而导致用户电脑中毒。

3、伪XLBugReport.exe主要行为

(1)修改常见浏览器的配置文件,将主页修改为流氓作者制定的网址导航 hxxp://www.01169.com/?vip

TtConf.dat(腾讯TT浏览器) 
360se.ini(360浏览器) 
TheWorld.ini(世界之窗浏览器)  

(2)删除桌面快捷方式:

其他流氓软件创建的快捷方式:Internet Explorer.url,淘宝商城.lnk

安全软件快捷方式:360安全卫士.lnk,360软件管家.lnk,360杀毒.lnk,瑞星杀毒软件.lnk,修复瑞星软件.lnk,账号保险柜.lnk

其他浏览器快捷方式;Mozilla Firefox.lnk

(3)创建桌面恶意图标

淘宝-购物.lnk

目标:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" C:\WINDOWS\web\Index.htm

Internet Explorer.lnk

(4)创建名为系统安全模块(停止可能会引起系统崩溃)的开机启动项目

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 
"系统安全模块(停止可能会引起系统崩溃)
"="D:\\Windows Media Player\\Program Files\\system32.exe"

【编辑推荐】

  1. 软件行业爆最大“流感” 百万用户速成病毒携带者
  2. AV终结者病毒现象以及传播方式与防范措施
责任编辑:许凤丽 来源: 赛迪网
相关推荐

2010-11-25 14:18:10

2019-01-28 05:00:23

2009-08-29 08:37:33

2020-02-14 10:20:41

物联网传染病数据

2010-09-27 09:58:59

2009-01-05 09:27:19

2009-01-04 10:10:00

病毒钓鱼密码

2014-02-12 14:12:29

2009-04-25 08:33:52

2014-03-13 09:16:24

2014-05-28 12:55:01

2020-03-03 09:42:58

恶意软件网络罪犯病毒

2009-02-25 10:42:53

2013-07-25 09:54:31

2012-10-07 14:57:01

2014-11-25 09:59:01

2022-04-11 12:45:31

病毒软件木马网络攻击

2021-10-29 16:28:48

Android恶意软件网络攻击

2011-08-09 10:09:07

2013-05-28 14:47:04

点赞
收藏

51CTO技术栈公众号