文章內容

病毒傳播新趨勢　正常軟件加載病毒(1)

發(fā)布時間: 2012/7/4 14:38:41

近期，利用正常軟件加載病毒的案例頻繁出現(xiàn)，相信這種問題存在于大量的軟件中，因此這種利用包含大型正常軟件來啟動惡意病毒方式將會越來越多，看來白名單策略很快就得去除數(shù)字簽名了。下面是一個利用正常迅雷程序加載病毒（偽XLBugReport.exe）的案例，同樣是加載的模塊/程序沒有檢查有效性。

1、病毒特征

runonce下面存在一個名為系統(tǒng)安全模塊(停止可能會引起系統(tǒng)崩潰)的啟動項目，指向文件system32.exe，路徑為D:\Windows Media Player\Program Files.運行system32.exe最終將調用XLBugReport.exe執(zhí)行。

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 
<系統(tǒng)安全模塊(停止可能會引起系統(tǒng)崩潰)> <D:\Windows Media Player\Program Files\system32.exe> 
 [(Verified)深圳市迅雷網(wǎng)絡技術有限公司, 1, 0, 2, 50]  
File: system32.exe 
Size: 579272 bytes 
File Version: 1, 0, 2, 50 
簽名公司：ShenZhen Thunder Networking Technologies Ltd. 
簽名時間：2009?年11月5日 11:39:06 
Modified: 2010年11月15日, 13:28:22 
MD5: FB58BD8118A7D7251179C276651DF7DB 
SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E 
CRC32: AFB22F51