近期,利用正常软件加载病毒的案例频繁出现,相信这种问题存在于大量的软件中,因此这种利用包含大型正常软件来启动恶意病毒方式将会越来越多,看来白名单策略很快就得去除数字签名了。下面是一个利用正常迅雷程序加载病毒(伪XLBugReport.exe)的案例,同样是加载的模块/程序没有检查有效性。
1、病毒特征
runonce下面存在一个名为系统安全模块(停止可能会引起系统崩溃)的启动项目,指向文件system32.exe,路径为D:\Windows Media Player\Program Files.运行system32.exe最终将调用XLBugReport.exe执行。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
<系统安全模块(停止可能会引起系统崩溃)> <D:\Windows Media Player\Program Files\system32.exe>
[(Verified)深圳市迅雷网络技术有限公司, 1, 0, 2, 50]
File: system32.exe
Size: 579272 bytes
File Version: 1, 0, 2, 50
签名公司:ShenZhen Thunder Networking Technologies Ltd.
签名时间:2009?年11月5日 11:39:06
Modified: 2010年11月15日, 13:28:22
MD5: FB58BD8118A7D7251179C276651DF7DB
SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E
CRC32: AFB22F51
2、病毒加载原理
首先开机启动以后通过runonce启动项目启动程序system32.exe(ThunderService,带迅雷数字签名),该文件回去加载模块XLBugHandler.dll(应该是错误收集的一个功能模块,带迅雷数字签名),该模块加载以后捕获到程序异常然后生成dump文件,接着调用XLBugReport.exe准备上传生成的dump文件,因为程序没有检查XLBugReport.exe的有效性导致直接加载了伪装的XLBugReport.exe文件,从而导致用户电脑中毒。
3、伪XLBugReport.exe主要行为
(1)修改常见浏览器的配置文件,将主页修改为流氓作者制定的网址导航 hxxp://www.01169.com/?vip
TtConf.dat(腾讯TT浏览器)
360se.ini(360浏览器)
TheWorld.ini(世界之窗浏览器)
(2)删除桌面快捷方式:
其他流氓软件创建的快捷方式:Internet Explorer.url,淘宝商城.lnk
安全软件快捷方式:360安全卫士.lnk,360软件管家.lnk,360杀毒.lnk,瑞星杀毒软件.lnk,修复瑞星软件.lnk,账号保险柜.lnk
其他浏览器快捷方式;Mozilla Firefox.lnk
(3)创建桌面恶意图标
淘宝-购物.lnk
目标:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" C:\WINDOWS\web\Index.htm
Internet Explorer.lnk
(4)创建名为系统安全模块(停止可能会引起系统崩溃)的开机启动项目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
"系统安全模块(停止可能会引起系统崩溃)"="D:\\Windows Media Player\\Program Files\\system32.exe"
【编辑推荐】