西班牙华人网 西华论坛

 找回密码
 立即注册
搜索
查看: 451|回复: 4
收起左侧

防毒功能被病毒所利用实例一则

[复制链接]
发表于 2011-6-28 22:25:58 | 显示全部楼层 |阅读模式
本帖最后由 xypc 于 2011-6-30 00:23 编辑

   通常我们把病毒和杀毒软件联系在一起,无非是某病毒有没有被杀毒软件杀掉,或者是某病毒有终止杀毒软件的行为等等,这些都是“对抗”的案例;而如果说一个病毒会“利用”杀毒软件来“干坏事”,你会不会觉得很新奇?AVG中国病毒实验室近日发现一种StartPage(篡改主页)病毒,会利用国内某知名杀毒软件来达到自己的目的。
  该知名安全厂商出品的一款优秀的网页浏览安全辅助软件,具有“IE反修改主页”和“页面重定向”等功能。而这两点正好被这个病毒利用了。
  该病毒会捆绑该安全辅助软件的以下组件:


                               
登录/注册后可看大图

  通过查看数字签名,我们可以看到这些文件确实来自于该安全辅助软件:


                               
登录/注册后可看大图

  这些该安全辅助软件的库文件被病毒用来锁定IE主页,和重定向一些URL。这些URL地址被保存在病毒释放的一个配置文件里:

                               
登录/注册后可看大图


  Kws.ini里保存了被锁定的主页地址:


                               
登录/注册后可看大图

  Spitesp.dat里保存了被重定向的URL(即访问这些URL时,都会被重定向到主页):


                               
登录/注册后可看大图

  通过截取中的部分URL,我们不难发现,该病毒会阻止用户访问国内一些著名的互联网网站。
  那么这个病毒是怎么利用该安全辅助软件达到目的的呢?
  该病毒是一个NSIS安装包,以下脚本是AVG智能引擎从该病毒中反编译出来的安装脚本。


  首先,我们可以看出,该病毒首先会查找某安全软件的进程,如果存在,表示用户已安装了该安全辅助软件,然后病毒会停止并卸载该安全辅助软件的服务。
  接下来病毒会把该安全辅助软件的组件释放到以下目录:


  然后将锁定主页和重定向URL的配置文件释放到以下目录,因为该安全辅助软件会从以下地方读取配置:


  最后,病毒通过一个批处理来调用该安全辅助软件的组件,即安装并启动该安全辅助软件的服务:


                               
登录/注册后可看大图



  至此,病毒已经完成了利用该安全辅助软件来锁定和重定向其他网页为一个恶意的网址了。
  该安全辅助软件固然强大,但是如果被病毒恶意利用,反倒会破坏用户的利益。如果您在浏览网页时,发现输入某个熟悉的网址却被重定向到一个没见过的网页时,请您留意是不是您的该安全辅助软件被病毒恶意利用了。(转自CN SECURITY)
发表于 2011-6-29 10:03:25 | 显示全部楼层
回复 支持 反对

使用道具 举报

 楼主| 发表于 2011-6-30 00:25:25 | 显示全部楼层
回复 fxr332 的帖子

麦田守望者的确是网络安全方面的专家,包括他所破解的卡巴斯基各个版本也是为人熟知的。。。
回复 支持 反对

使用道具 举报

发表于 2011-7-1 19:06:08 | 显示全部楼层
学习了
回复 支持 反对

使用道具 举报

发表于 2011-7-4 20:29:50 | 显示全部楼层
路过,看看!!!!!!!!!!!!!!!!!!!!!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们|广告服务|免责声明|小黑屋|友情链接|Archiver|联系我们|手机版|西班牙华人网 西华论坛 ( 蜀ICP备05006459号 )

GMT+2, 2024-11-29 06:45 , Processed in 0.009830 second(s), 8 queries , Gzip On, Redis On.

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表
手机版