文章内容

病毒传播新趋势　正常软件加载病毒(1)

发布时间: 2012/7/4 14:38:41

近期，利用正常软件加载病毒的案例频繁出现，相信这种问题存在于大量的软件中，因此这种利用包含大型正常软件来启动恶意病毒方式将会越来越多，看来白名单策略很快就得去除数字签名了。下面是一个利用正常迅雷程序加载病毒（伪XLBugReport.exe）的案例，同样是加载的模块/程序没有检查有效性。

1、病毒特征

runonce下面存在一个名为系统安全模块(停止可能会引起系统崩溃)的启动项目，指向文件system32.exe，路径为D:\Windows Media Player\Program Files.运行system32.exe最终将调用XLBugReport.exe执行。

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 
<系统安全模块(停止可能会引起系统崩溃)> <D:\Windows Media Player\Program Files\system32.exe> 
 [(Verified)深圳市迅雷网络技术有限公司, 1, 0, 2, 50]  
File: system32.exe 
Size: 579272 bytes 
File Version: 1, 0, 2, 50 
签名公司：ShenZhen Thunder Networking Technologies Ltd. 
签名时间：2009?年11月5日 11:39:06 
Modified: 2010年11月15日, 13:28:22 
MD5: FB58BD8118A7D7251179C276651DF7DB 
SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E 
CRC32: AFB22F51