随着网络视频的不断发展,观看视频的主要途径已经从电视转移到了网络,我们可以通过网络自由地选择我们喜爱的视频节目,但是由于国内对影视作品的版权和内容的审核,我们无法看到某些含有特殊内容的视频,或者需要付费观看某些视频。这个时候某些视频播放器就有了自己的市场,无视版权快速发布最新的影视作品,发布包含敏感内容的视频,以吸引用户安装使用。但是天下没有免费的午餐,很多用户在安装视频播放器的同时,轻则被恶意捆绑安装其他插件,重则感染各种病毒。 近来AVG中国区病毒实验室截获一系列下载器,这些下载器都伪装成安全软件的下载器。诱导用户双击后会连接到远程服务器下载病毒。
随后该下载器会弹出一个具有诱惑性的网站,而且该网站列举了其“七大优势”,包括国内外各种禁片搜素等等。需要观看相关视频的用户必须安装对应的播放器,诱使用户下载安装,并且我们从截图中可以看到此播放器给自己披上了PPTV的合法外衣。
在安装的过程中,我们发现该播放器并非PPTV,而是一款叫做哈哈高清视频的播放器。仅管在安装过程中我们选择不安装任何插件,但是安装完毕后我们的发现主页依然被劫持到http://www.v921.com/,然后重定向到一个名为搜狗网址导航的网站。恢复主页重启后依然会被重新劫持。在卸载该播放器之后,我们发现劫持主页的现象依然存在,并且发现卸载后用户的%system32%目录下有LoAcc.exe,以及LoAcc.link的文件残留。并且在自启动项加入该lnk文件以保证LoAcc.exe的开启自启动。
同时该文件拥有和该播放器其他组件相同的数字签名,并且p2p加速器的形式存在。经过分析我们发现恶意劫持用户的主页的正是此文件。
LoAcc.exe会以suspend的方式创建一个新的svchost进程,并将代码注入到svchost中,不断回写注册的自启动项以保证Loacc.exe的自启动。 为了进一步的了解事情的真相,我们从该播放器的官方网站上下载了该播放器,不幸的是我们发现除了替换驱动之外,该播放器有其他相同的行为。在卸载后依然会残留LoAcc.exe文件来劫持用户主页。单独以参数Acc运行LoAcc.exe,以下截图显示了该文件注入svchost.exe的过程。
以下截图显示了其恶意劫持用户的行为:
目前视频播放类软件以及各种外挂捆绑病毒的现象非常严重,各种流氓行为更是防不胜防。各种弹窗广告,修改主页等行为让人相当厌烦和尴尬。AVG提醒您,规范上网行为,安装和及时更新杀毒软件可以有效的防止此类事情的发生。尽量通过正规的视频网站和常用的视频软件来观看视频。安装此视频播放器并且导致主页被劫持的用户,可以首先卸载该播放器,然后中止loAcc.exe进程,删除文件和启动项的方式来处理。目前,AVG各个版本的杀毒软件已经可以防范该恶意行为。
责任编辑:itcom
|