首页 > 电脑安全 > 安防新闻 > 流行木马 > 正文

木马也扮靓 AVG提醒用户切勿贪色误事
2012-07-30 14:28  牛华网    我要评论(0)
字号:T|T

在恶意软件和反恶意软件的对抗中,杀软在不断进化,病毒也变得越来越聪明。恶意程序使用图片作为图标并不少见,但如今的木马程序不光费尽心思欺骗用户,在杀软厂商的实验室里,它们更是努力伪装成善意无辜的小绵羊,试图躲过猎手的查杀。

AVG中国病毒实验室最近截获一个样本,此样本来自电子邮件,附件号称是美女图片:

看到这些文件,你会不会有直接双击打开它们的冲动?好的,那么双击解压后得到两个文件:

细心的同学可能发现了,右边是一个exe文件。如果运行了,就会弹出一个图片:

一看还真是美女图片,不过这时你已经中招了。如果没有左边的“没有预览”图片文件,运行exe文件则会弹出画图程序。

这种情况下木马没有任何行为,俨然就是一个正常文件。

其实这就是病毒煞费苦心的所在,因为反病毒的厂商的自动化系统一般会过滤掉不能直接执行的文件,并且运行的时候会根据程序行为判断是否恶意并且加入到特征码。在没有另一个文件的时候病毒就显示为一个完全无害的程序,以此逃过查杀。

木马释放出一个jpg文件,并调用ShellExecute打开,让用户以为文件本身就是图片。随后在Program files下创建目录“暴风2”,释放Stormplayer.exe和Stormplayer.dll文件到改目录中。Stormplayer是一个病毒经常利用的白程序,真正的恶意部分在Stormplayer.dll中,有合法数字签名的Stormplayer.exe在运行时会加载stormplayer.dll,成为病毒的宿主。而杀软常常会因为Stormplayer.exe是白文件而忽略进程的行为。

木马为了躲避云查杀,特意对stormplayer.dll进行了”增肥”处理,解压出的文件大小有52M,这么大的文件云系统一般是忽略的。

经过分析StormPlayer.dll是一个后门程序。目前该病毒母体和后面程序均已被AVG检测为Dropper和Trojan病毒。现在的木马程序越来越五花八门,AVG在不断完善对用户的保护和对病毒的监测的同时,还是要提醒广大用户不要轻易掉进“美女”的陷阱,及时更新您的杀毒软件和病毒库。

新闻热线:010-68947455

关键词: AVG

责任编辑:任光飞

匿名发表 

快速登录

所有评论仅代表网友意见,牛华网保持中立。

本类最热

科技视界

网站地图

牛华网

华军下载 | 牛华网 | 盒子 | pcsoft | 论坛

实用工具

关于我们 | 新闻投稿 | 软件发布 | 版权声明 | 意见建议 | 网站地图 | 友情连接 | RSS订阅 | 总编信箱 | 诚聘英才 | 联系我们

苏ICP证编号 B2-20090274 本站特聘法律顾问:于国富律师

Copyright (C) 1997-2012 newhua.com 牛华网 版权所有