病毒替換Windows系統文件早已不是什么新鮮事了。但是替換應用程序的組件卻一直很少見,這多半是因為觸發較難或者通用性不夠。過去我們見到過的大部分相關案例是病毒會替換QQ的組件來盜取用戶的QQ秘密。而最近,AVG截獲到一種會替換國內流行軟件的組件來實施惡意行為。而這些流行軟件中包括了迅雷、傲游、阿里旺旺等幾乎裝機必備的軟件。
這款病毒首先會從網上下載一個配置文件,里面包含了一些重要信息,包括替換哪些軟件的組件,如何去替換。
下載完后,病毒會安裝兩個計時器,循環執行惡意代碼。
在這段惡意代碼中,病毒首先解析剛才下載下來的配置文件,找到要修改的程序的路徑信息。
然后檢查要替換的組件的描述信息(判斷是否已經被替換過)和版本信息,來判斷是否需要替換。
如果確定要替換,就從網上下載一個相關的事先修改好的文件,然后終止該組件所屬程序的進程,備份原有組件,然后執行替換。
到目前為止,病毒已經成功將正常組件提換成了惡意組件。接下來讓我們看看惡意組件做了什么事情。
Dll的main函數代碼如下:
這段代碼不難理解。病毒首先在注冊表的RUN鍵值里添加一項,保證被替換的組件所屬的程序能自動運行。然后檢測當前系統環境下是否存在互斥體“Pidalce”。如果不存在,表示病毒母體沒有運行,則病毒會檢測程序所在路徑下是否存在母體文件,如果不存在,就從網上下載一個新的下來,然后執行該母體。
接下來,修改后的組件會在IE收藏夾和桌面上添加一些惡意的鏈接和快捷方式。
最后,修改后的組件還會加載正常的組件。
那么修改后的組件是怎么處理dll的導出函數的呢?請看下面的代碼:
我們在上面提到惡意組件會加載正常的組件,所以在惡意組件的導出函數中,惡意組件會獲得正常組件的同名導出函數的地址,然后執行。這樣就能確保程序能正常運行了。
從病毒下載下來的配置文件中我們看到,這個病毒會替換以下流行程序的組件:
Thunder(迅雷)
PPStream
PPLive
StormPlayer(暴風影音)
AliWangwang(阿里旺旺)
TTPlayer(千千靜聽)
SogouExplorer(搜狗瀏覽器)
Maxthon(傲游)
這些都是國內非常受歡迎的軟件。目前AVG已經將這種病毒檢測為Clicker,已保證這些軟件的安全使用。想要得到更加全面的保護,請點擊www.avg.com .
京公網安備 11010502049343號