从3月开始,AVG中国病毒实验室就截获到大批具有迷惑性伪装的“网购木马”,他们大多都以“3•8节”和“超低价”为噱头,以“网购促销”和团购等形式出现,在新兴事物集中爆发的网络环境里,只要网友购物心切,一不小心就有可能中招。
下面我们选择一款经典的“实物图.exe”木马来分析看看。这款木马的特别之处在于使用了可信的软件的漏洞,利用可信的程序加载病毒文件执行恶意指令。对普通用户更具迷惑性。
从奸商处得到的文件是一个压缩包
解压后包含三个文件
这时有警惕性的网友都会质疑这个exe,但是这个程序是具有合法的签名的,并且多家厂商的云鉴定也为安全。
这样的话运行这个文件是否就是安全的?况且看起来挺像一个图片?况且卖家说运行这个文件解压缩图片?
答案是否定的。蹊跷就在这个haozip.dll里。这个dll是一个网购木马,在运行后会进一步驻留进系统,旨在盗取淘宝帐号。
那么该dll是如何被执行的呢?原来实物图.exe是属于好压软件的程序,这个exe在执行后会试图加载同目录名为haozip.dll的动态库而没有验证是否合法。这一点被病毒利用,于是就产生了这样一种借正常程序的壳,来执行恶意程序这一类病毒加载方式。
使用这一方式来加载自身的病毒并非这一例,除了好压的签名程序,一些热门影音播放软件和一些安全类软件也沦为了该病毒的宿主。因此广大网友在接收到不明程序时,千万不要掉以轻心,需经常更新病毒库,不要因为exe是安全的就轻易运行。
目前此恶意程序已被AVG检测为Generic27.JUX
以上,AVG提醒广大用户,即使需求再迫切,网购也仍然需谨慎再谨慎:在登录网购页面前,不妨先用专业的探测软件检查一下,该网页是否被挂马、含病毒,例如AVG的link scanner,可以轻松流畅的帮你提前监测页面是否安全;同时,不是谁都能消受得起电脑裸奔的狂欢,为自己的电脑选择一款敬业并且专业的安全软件是必不可少的。
本文来源:天空软件 作者:佚名