|
近期��,利用正常軟件加載病毒的案例頻繁出現(xiàn)����,相信這種問題存在于大量的軟件中,因此這種利用包含大型正常軟件來啟動惡意病毒方式將會越來越多�,看來白名單策略很快就得去除數(shù)字簽名了。下面是一個利用正常迅雷程序加載病毒(偽XLBugReport.exe)的案例�����,同樣是加載的模塊/程序沒有檢查有效性�。
1、病毒特征
runonce下面存在一個名為系統(tǒng)安全模塊(停止可能會引起系統(tǒng)崩潰)的啟動項目���,指向文件system32.exe�,路徑為D:\Windows Media Player\Program Files.運行system32.exe最終將調(diào)用XLBugReport.exe執(zhí)行。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
<系統(tǒng)安全模塊(停止可能會引起系統(tǒng)崩潰)> <D:\Windows Media Player\Program Files\system32.exe>
[(Verified)深圳市迅雷網(wǎng)絡(luò)技術(shù)有限公司, 1, 0, 2, 50]
File: system32.exe
Size: 579272 bytes
File Version: 1, 0, 2, 50
簽名公司:ShenZhen Thunder Networking Technologies Ltd.
簽名時間:2009?年11月5日 11:39:06
Modified: 2010年11月15日, 13:28:22
MD5: FB58BD8118A7D7251179C276651DF7DB
SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E
CRC32: AFB22F51
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強�!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
