双节过后，各行各业的人们开始陆续返回工作岗位，他们的电脑也开始进入了忙碌期。可是，习惯开机调整一下控制面板的人们请注意了，AVG近日发现了一个藏匿在控制面板扩展程序中的阴谋——CPL(Control Panel extension)文件为windows下的控制面板扩展程序，这些程序通常是由控制面板启动时加载，显示在控制面板中。

这些程序的扩展名称虽是“.CPL”,但其实质却是DLL文件。由于“.CPL”文件在系统文件关联中以注册，由“windows shell common Dll’”即shell32.dll调用，所以这类程序是可以直接双击执行的。当用户双击这些程序时，系统会以“rundll32.exe shell32.dll,Control_RunDLL xxxx.cpl”的方式执行。

由于其可以像exe程序一样双击执行，如果有恶意程序伪装此类文件，对于普通用户具有很大的威胁。

近日，在AVG捕获到的样本中，就有伪装成CPL文件的downloader木马。

当该文件被双击后，会由rundll32.exe加载执行，执行后链接网络下载文件。从图中可以看到，rundll32.exe的进程ID和TCPView中得rundll32.exe得ID相同。

下载下来的文件会被保存到system32目录下，并启动该文件。从下图可以看到，vdsps.exe得父层显示的是rundll32.exe，进程ID是248，和上图加载样本的rundll32.exe进程ID相同。说明该vdsps.exe是由rundll32.exe启动的。

通过LoadLibrary和GetProcAddress组合获取所需的网络相关的API地址。

为了防止杀软对其网络行为的拦截，通过“regsvr32 /u”命令来解除杀软AVAST的网页保护模块，/s参数表示无声，不出现实确认的对话框，后天隐蔽执行。

通过解密代码中的数据，获取远程服务器地址，以HTTP协议方式请求网络文件。

通过HTTP请求的文件都会被保存在system32目录下，并通过系统API ShellExecute执行下载下来的文件。

AVG提醒您，对扩展名不常见或未知的文件一定要保持高度警惕，确保正常后再运行。AVG 2013可以更加全面的保护您的电脑，安装AVG并更新到最新版本，就可以轻松检测该类木马及其衍生文件，确保您安全无忧的使用您的电脑。