2011-08-15来源:金山安全中心
摘要:8月14日,金山云安全中心监测发现一类盗号木马可成功骗过众多杀毒软件的防御,病毒利用正常系统的EXE程序(有数字签名的可执行程序)加载病毒dll文件,一周内病毒感染量从最初的每天200台飙升到一天1.6万台。中毒电脑可能出现多个流行网游帐号及装备被盗。
关键词:系统清理工具 系统清理软件
8月14日,金山云安全中心监测发现一类盗号木马可成功骗过众多杀毒软件的防御,病毒利用正常系统的EXE程序(有数字签名的可执行程序)加载病毒dll文件,一周内病毒感染量从最初的每天200台飙升到一天1.6万台。中毒电脑可能出现多个流行网游帐号及装备被盗。
图1 盗号木马一周感染量出现飙升
利用正常程序来启动病毒木马,这已经成为病毒作者惯用的手法。一些具有数字证书的常用EXE文件(可执行程序)尤其容易被利用。这些盗号木马的目标是网游玩家,因此通常会伪装成外挂和游戏插件来欺骗玩家下载安装。
图2 病毒利用Windows CleanSystem清理工具来运行病毒dll的典型实例。
当CleanSystem.exe要运行时,会去加载同目录下的updspapi.dll文件才能顺利执行。当网民不慎运行了谎称游戏外挂和辅助插件的病毒后,系统目录下的updspapi.dll文件即被病毒替换。病毒还会添加开机自动运行项,实现每次重启电脑后病毒程序被自动加载。
因为开机运行项时实际添加了一个正常的系统工具,这类系统程序是完全正常的文件,一些杀毒软件若不能及时鉴定病毒篡改过的updspapi.dll,就会导致盗号木马在系统开机时成功运行,最终导致游戏玩家的虚拟财富被洗劫一空。