在恶意软件和反恶意软件的对抗中,杀软在不断进化,病毒也变得越来越聪明。恶意程序使用图片作为图标并不少见,但如今的木马程序不光费尽心思欺骗用户,在杀软厂商的实验室里,它们更是努力伪装成善意无辜的小绵羊,试图躲过猎手的查杀。 AVG中国病毒实验室最近截获一个样本,此样本来自电子邮件,附件号称是美女图片: 看到这些文件,你会不会有直接双击打开它们的冲动?好的,那么双击解压后得到两个文件: 细心的同学可能发现了,右边是一个exe文件。如果运行了,就会弹出一个图片 一看还真是美女图片,不过这时你已经中招了。如果没有左边的“没有预览”图片文件,运行exe文件则会弹出画图程序。 这种情况下木马没有任何行为,俨然就是一个正常文件。 其实这就是病毒煞费苦心的所在,因为反病毒的厂商的自动化系统一般会过滤掉不能直接执行的文件,并且运行的时候会根据程序行为判断是否恶意并且加入到特征码。在没有另一个文件的时候病毒就显示为一个完全无害的程序,以此逃过查杀。 木马释放出一个jpg文件,并调用ShellExecute打开,让用户以为文件本身就是图片。随后在Program files下创建目录“暴风2”,释放Stormplayer.exe和Stormplayer.dll文件到改目录中。Stormplayer是一个病毒经常利用的白程序,真正的恶意部分在Stormplayer.dll中,有合法数字签名的Stormplayer.exe在运行时会加载stormplayer.dll,成为病毒的宿主。而杀软常常会因为Stormplayer.exe是白文件而忽略进程的行为。 木马为了躲避云查杀,特意对stormplayer.dll进行了”增肥”处理,解压出的文件大小有52M,这么大的文件云系统一般是忽略的。 经过分析StormPlayer.dll是一个后门程序。目前该病毒母体和后面程序均已被AVG检测为Dropper和Trojan病毒。现在的木马程序越来越五花八门,AVG在不断完善对用户的保护和对病毒的监测的同时,还是要提醒广大用户不要轻易掉进“美女”的陷阱,及时更新您的杀毒软件和病毒库。
责任编辑:itcom
|