自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

病毒傳播新趨勢(shì) 正常軟件加載病毒

作者:佚名
安全
近期,利用正常軟件加載病毒的案例頻繁出現(xiàn),相信這種問(wèn)題存在于大量的軟件中,因此這種利用包含大型正常軟件來(lái)啟動(dòng)惡意病毒方式將會(huì)越來(lái)越多,看來(lái)白名單策略很快就得去除數(shù)字簽名了。下面是一個(gè)利用正常迅雷程序加載病毒(偽XLBugReport.exe)的案例,同樣是加載的模塊/程序沒(méi)有檢查有效性。

近期,利用正常軟件加載病毒的案例頻繁出現(xiàn),相信這種問(wèn)題存在于大量的軟件中,因此這種利用包含大型正常軟件來(lái)啟動(dòng)惡意病毒方式將會(huì)越來(lái)越多,看來(lái)白名單策略很快就得去除數(shù)字簽名了。下面是一個(gè)利用正常迅雷程序加載病毒(偽XLBugReport.exe)的案例,同樣是加載的模塊/程序沒(méi)有檢查有效性。

1、病毒特征

runonce下面存在一個(gè)名為系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)的啟動(dòng)項(xiàng)目,指向文件system32.exe,路徑為D:\Windows Media Player\Program Files.運(yùn)行system32.exe最終將調(diào)用XLBugReport.exe執(zhí)行。

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 
<系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)> <D:\Windows Media Player\Program Files\system32.exe> 
 [(Verified)深圳市迅雷網(wǎng)絡(luò)技術(shù)有限公司, 1, 0, 2, 50]  
File: system32.exe 
Size: 579272 bytes 
File Version: 1, 0, 2, 50 
簽名公司:ShenZhen Thunder Networking Technologies Ltd. 
簽名時(shí)間:2009?年11月5日 11:39:06 
Modified: 2010年11月15日, 13:28:22 
MD5: FB58BD8118A7D7251179C276651DF7DB 
SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E 
CRC32: AFB22F51

#p#

2、病毒加載原理

首先開(kāi)機(jī)啟動(dòng)以后通過(guò)runonce啟動(dòng)項(xiàng)目啟動(dòng)程序system32.exe(ThunderService,帶迅雷數(shù)字簽名),該文件回去加載模塊XLBugHandler.dll(應(yīng)該是錯(cuò)誤收集的一個(gè)功能模塊,帶迅雷數(shù)字簽名),該模塊加載以后捕獲到程序異常然后生成dump文件,接著調(diào)用XLBugReport.exe準(zhǔn)備上傳生成的dump文件,因?yàn)槌绦驔](méi)有檢查XLBugReport.exe的有效性導(dǎo)致直接加載了偽裝的XLBugReport.exe文件,從而導(dǎo)致用戶電腦中毒。

 

 #p#

3、偽XLBugReport.exe主要行為

(1)修改常見(jiàn)瀏覽器的配置文件,將主頁(yè)修改為流氓作者制定的網(wǎng)址導(dǎo)航 hxxp://www.01169.com/?vip

TtConf.dat(騰訊TT瀏覽器) 
360se.ini(360瀏覽器) 
TheWorld.ini(世界之窗瀏覽器)

 (2)刪除桌面快捷方式:

其他流氓軟件創(chuàng)建的快捷方式:Internet Explorer.url,淘寶商城.lnk

安全軟件快捷方式:360安全衛(wèi)士.lnk,360軟件管家.lnk,360殺毒.lnk,瑞星殺毒軟件.lnk,修復(fù)瑞星軟件.lnk,賬號(hào)保險(xiǎn)柜.lnk

其他瀏覽器快捷方式;Mozilla Firefox.lnk

(3)創(chuàng)建桌面惡意圖標(biāo)

淘寶-購(gòu)物.lnk

目標(biāo):"C:\Program Files\Internet Explorer\IEXPLORE.EXE" C:\WINDOWS\web\Index.htm

Internet Explorer.lnk

(4)創(chuàng)建名為系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)的開(kāi)機(jī)啟動(dòng)項(xiàng)目

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 
"系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)"="D:\\Windows Media Player\\Program Files\\system32.exe"

 

【編輯推薦】

  1. 病毒泛濫時(shí)代 企業(yè)該如何抵御Zeus攻擊
  2. 手機(jī)驚現(xiàn)僵尸病毒 話費(fèi)不翼而飛
  3. 圖片文件竟是病毒冒充 垃圾數(shù)據(jù)湊大小
  4. 變種病毒偽裝“手機(jī)飛信” 自動(dòng)聯(lián)網(wǎng)狂下惡意軟件
責(zé)任編輯:佟健 來(lái)源: 賽迪網(wǎng)
病毒病毒加載
相關(guān)推薦

2010-11-25 14:20:32

2019-01-28 05:00:23

2009-08-29 08:37:33

2020-02-14 10:20:41

物聯(lián)網(wǎng)傳染病數(shù)據(jù)

2010-09-27 09:58:59

2009-01-05 09:27:19

2009-01-04 10:10:00

病毒釣魚(yú)密碼

2014-02-12 14:12:29

2014-05-28 12:55:01

2009-04-25 08:33:52

2020-03-03 09:42:58

惡意軟件網(wǎng)絡(luò)罪犯病毒

2014-03-13 09:16:24

2014-11-25 09:59:01

2013-07-25 09:54:31

2009-02-25 10:42:53

2012-10-07 14:57:01

2021-10-29 16:28:48

Android惡意軟件網(wǎng)絡(luò)攻擊

2022-04-11 12:45:31

病毒軟件木馬網(wǎng)絡(luò)攻擊

2011-08-09 10:51:05

2011-08-09 10:09:07

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)