|
近期����,利用正常軟件加載病毒的案例頻繁出現(xiàn)��,相信這種問題存在于大量的軟件中��,因此這種利用包含大型正常軟件來啟動(dòng)惡意病毒方式將會(huì)越來越多,看來白名單策略很快就得去除數(shù)字簽名了�。下面是一個(gè)利用正常迅雷程序加載病毒(偽XLBugReport.exe)的案例,同樣是加載的模塊/程序沒有檢查有效性��。
1����、病毒特征
runonce下面存在一個(gè)名為系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)的啟動(dòng)項(xiàng)目,指向文件system32.exe��,路徑為D:\Windows Media Player\Program Files.運(yùn)行system32.exe最終將調(diào)用XLBugReport.exe執(zhí)行�����。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
<系統(tǒng)安全模塊(停止可能會(huì)引起系統(tǒng)崩潰)> <D:\Windows Media Player\Program Files\system32.exe>
[(Verified)深圳市迅雷網(wǎng)絡(luò)技術(shù)有限公司, 1, 0, 2, 50]
File: system32.exe
Size: 579272 bytes
File Version: 1, 0, 2, 50
簽名公司:ShenZhen Thunder Networking Technologies Ltd.
簽名時(shí)間:2009?年11月5日 11:39:06
Modified: 2010年11月15日, 13:28:22
MD5: FB58BD8118A7D7251179C276651DF7DB
SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E
CRC32: AFB22F51
本文出自:億恩科技【www.xuefeilisp.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商��!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
