最新木马病毒下载器“PPStream漏洞下载器”和“桌面潜伏下载器”解析
“PPStream漏洞下载器”是一个脚本类型木马病毒下载器程序。会利用PPStream(PPS网络电视)的漏洞进行下载活动。3 ?0 @% L. B) I' X6 V
# f4 z ?& N* P W2 b* h- Zbbs.123fz.net“桌面潜伏下载者”是一个木马病毒下载器程序。病毒会修改系统桌面文件explorer.exe,将自己隐藏在里面运行。同时它还具备自我更新和自我删除的功能。福至交易论坛1 o: M) a* `. ~" ?: j
(1)“PPStream漏洞下载器”利用第三方软件的漏洞进行病毒下载,要比直接对抗安全软件来得容易。因此,有相当数量的病毒下载器是针对第三方软件制作的。6 h& A+ Y; t& W( i6 K1 r& Q7 M
“PPStream漏洞下载器”利用的是PPStream(PPS网络电视)的漏洞。利用网页挂马、捆绑视频文件的方法混进用户电脑,然后查看用户安装的PPStream中,是否含有2.0.1.3829版本的PowerPlayer.dll文件。如果确定是该版本,病毒就会制造溢出事件。9 l1 k7 V) a- B/ Z3 H9 i$ O i% V
这个病毒在制造溢出事件后,就能够悄悄连接木马病毒作者指定的远程地址,下载其它病毒到用户电脑中运行,引起无法估计的更大损失。
7 G; W* X& o! Y4 T' V* N福至交易论坛6 U; X5 H' P$ A9 o
(2)“桌面潜伏下载者”9 n: X4 t" B0 H8 _ I+ t8 ?
“桌面潜伏下载者”与大部分在AV终结者之后诞生的下载器一样,金山毒霸反病毒专家此次捕获的这个木马病毒下载器也具有一定的对抗安全软件能力。它进入系统后,立即检测进程列表是否存在“贝壳磁盘保护系统”的进程BKPCLIENT.EXE和MENU.EXE,若有则将它们强行结束。
; W+ i, }; j, f7 Q接着,木马病毒复制WINDOWS目录下的系统桌面进程文件explorer.exe到WINDOWS\System32\目录下,并往原始的explorer.exe里写入自己的病毒代码,再将其复制到WINDOWS目录下,更名为svchost.exe。( v; h8 _3 h0 H% i6 P* i
之后,木马病毒就启动这个svchost.exe文件,利用它来调用正常的explorer.exe,实现隐蔽的运行。如果成功运行起来,它就能够连接木马病毒作者指定的地址,下载病毒文件列表,再根据列表里的地址去下载更多其它病毒文件运行,引发更大的破坏。/ ~1 w( Y0 C8 z
同时,该病毒具有自我更新和自我删除的功能,它会自动下载更新配置文件,并在运行完成后删除自己的原始文件,以免用户发现电脑中出现多余的东西。
