“艳照”事件再现群共享 AVG 提醒您注意防范

近来， AVG 中国区病毒实验室不断的接受到一个名为“厢册 .exe ”的病毒样本，经分析发现， 该病毒的在群的共享中以“娱乐新闻(柏 x 再次曝光)”的压缩包 形式出现。 但是 并 没有采用自解压的格式，因此双击压缩包不会导致病毒的运行， 如下图所示 ：

笔者 甚至在本人 的某些 QQ 群中都能找到其踪迹，可见现在此病毒已经具有一定的覆盖面 。 “ 柏 X 再次曝光”，相信这个名字对很多用户还是具有一定的吸引力 ， 这也是此病毒能够广泛传播的一个原因。 压缩包中实际包含两个文件，但是如果 直接解压， 并且用户没有在文件夹选项中 选择显示系统隐藏文件的选项时， 是 无法 察觉 到 文件 “ lpk .dll ” 的存在 ，因为此文件具有系统隐藏的属性。

如果用户在好奇心的驱使下 ，双击了“厢册 .exe ” , 在某些低版本的 windows 系统中， 系统未检查 lpk .dll 的合法性， 并且会优先加载当前目录下的 lpk .dll ，而不是系统的 DLL 。 恶意的 lpk .dll 会 向系统所有 磁盘的所有目录下复制 lpk .dll . 并且利用 rar 提 供的命令行向压缩包中打包病毒文件， 直接导致某些压缩包中携带恶意的病毒文件。 传播途径比较隐蔽。 随后病毒会将正常路径下的 lpk .dll 加载起来 。 如下图所示 lpk .dll 释放两个文件：

c:\windows\temp\hrl1.tmp

c:\windows\system32\ scgeyq .exe

这两个进程 主要 负责和远端的服务器进行通信。 同时我们要看见 hrl1.tmp 的进程下加载了两个 lpk . dll 其中之一就是恶意的病毒文件。

这样， 实现了一种特殊的自启动 ，任何目录下的 exe 执行时都会导致病毒模块 lpk .dll 的加载 。 同时 病毒会利用自身 的资源文件生成一个 fxsst.dl 的文件 ， 然后利用重命名的方式 将 fxsst .dl 改名为 fxsst .dll .

随后病毒会执行 “ shutdown -r -t 1 ” 的命令强制重启用户电脑。 经分析发现 释放的文件 fxsst .dll 会窃取您 QQ 账户的密码，并上传至远端的服务器。 以下截图表明了病毒在拼接 qq2012 的字符串。

通过对 近期样本的监测，以及用户反馈 ，群共享中出现病毒的频率越来越高 。某些病毒甚至有自动将自身上传至感染用户所有群共享的功能。 AVG 提醒您，切忌不要打开群共享中带有诱惑或者敏感信息的 文件，潘多拉的盒子一旦被打开将会给您造成一些不可挽回的损失; 同时请注意保持您安全防护软件的更新 和系统的更新 。 当前最新版本的 AVG 已经可以检测此类病毒， AVG 用户可以安心畅游网络。