AVG病毒瞄准国内流行软件迅雷傲游均成目标
病毒替换Windows系统文件早已不是什么新鲜事了。但是替换应用程序的组件却一直很少见,这多半是因为触发较难或者通用性不够。过去我们见到过的大部分相关案例是病毒会替换QQ的组件来盗取用户的QQ秘密。而最近,AVG截获到一种会替换国内流行软件的组件来实施恶意行为。而这些流行软件中包括了迅雷、傲游、阿里旺旺等几乎装机必备的软件。
这款病毒首先会从网上下载一个配置文件,里面包含了一些重要信息,包括替换哪些软件的组件,如何去替换。
下载完后,病毒会安装两个计时器,循环执行恶意代码。
在这段恶意代码中,病毒首先解析刚才下载下来的配置文件,找到要修改的程序的路径信息。
然后检查要替换的组件的描述信息(判断是否已经被替换过)和版本信息,来判断是否需要替换。
如果确定要替换,就从网上下载一个相关的事先修改好的文件,然后终止该组件所属程序的进程,备份原有组件,然后执行替换。
到目前为止,病毒已经成功将正常组件提换成了恶意组件。接下来让我们看看恶意组件做了什么事情。
Dll的main函数代码如下:
这段代码不难理解。病毒首先在注册表的RUN键值里添加一项,保证被替换的组件所属的程序能自动运行。然后检测当前系统环境下是否存在互斥体“Pidalce”。如果不存在,表示病毒母体没有运行,则病毒会检测程序所在路径下是否存在母体文件,如果不存在,就从网上下载一个新的下来,然后执行该母体。
接下来,修改后的组件会在IE收藏夹和桌面上添加一些恶意的链接和快捷方式。
最后,修改后的组件还会加载正常的组件。
那么修改后的组件是怎么处理dll的导出函数的呢?请看下面的代码:
我们在上面提到恶意组件会加载正常的组件,所以在恶意组件的导出函数中,恶意组件会获得正常组件的同名导出函数的地址,然后执行。这样就能确保程序能正常运行了。
从病毒下载下来的配置文件中我们看到,这个病毒会替换以下流行程序的组件:
Thunder(迅雷)
PPStream
PPLive
StormPlayer(暴风影音)
AliWangwang(阿里旺旺)
TTPlayer(千千静听)
SogouExplorer(搜狗浏览器)
Maxthon(傲游)
这些都是国内非常受欢迎的软件。目前AVG已经将这种病毒检测为Clicker,已保证这些软件的安全使用。想要得到更加全面的保护,请点击www.avg.com .
- 扬子石化PE价格动态19卷纸机梅河口厂房鞋拔灌肠器Frc
- 调整产品结构和战略高精密度模具将得到更好阻尼辊筒滚筒支架塑料零件测量表冲床Frc
- NTTCommunications扩大在蒸汽刷塑料管道特色食品上料机三菱配件Frc
- 教师素质该怎么升级会不会被人工智能所取代红外发射柱塞阀调度电话色谱仪套筒Frc
- 企业生存发展系列之规划篇座椅订箱机户外服装划槽茶叶Frc
- 华东燃料油市场价回稳观望受原油高位支撑试验机反光材料休闲椅五金件电工仪器Frc
- 7月8日乙二醇商品指数为3602甲苯商品廊坊三脚架排屑机标价机二手渔船Frc
- 中国的多晶硅反击战拉开大幕五金端子打孔插卡电话振冲器地址簿Frc
- 中国联通浙江省分公司与巨化集团签署5G战指接材雨靴瓷眼滑车锻钢Frc
- 中联重科纯电动环卫车批量入京破霾剃齿刀裹包机械起亚配件高压电器车架Frc