您的位置:网站首页 > 电脑知识 > 正文

木马下载器伪装成安全软件下载器,用户要注意防范

作者:admin 来源: 日期:2012-10-1 10:46:42

近来金山毒霸截获一系列下载器,这些下载器都伪装成安全软件的下载器。诱导用户双击后会连接到远程服务器下载病毒。

随后该下载器会弹出一个具有诱惑性的网站,而且该网站列举了其“七大优势”,包括国内外各种禁片搜素等等。需要观看相关视频的用户必须安装对应的播放器,诱使用户下载安装,并且我们从截图中可以看到此播放器给自己披上了PPTV的合法外衣。

在安装的过程中,我们发现该播放器并非PPTV,而是一款叫做哈哈高清视频的播放器。仅管在安装过程中我们选择不安装任何插件,但是安装完毕后我们的发现主页依然被劫持到黑客指定的网址,然后重定向到一个名为搜狗网址导航的网站。恢复主页重启后依然会被重新劫持。在卸载该播放器之后,我们发现劫持主页的现象依然存在,并且发现卸载后用户的%system32%目录下有LoAcc.exe,以及LoAcc.link的文件残留。并且在自启动项加入该lnk文件以保证LoAcc.exe的开启自启动。

同时该文件拥有和该播放器其他组件相同的数字签名,并且p2p加速器的形式存在。经过分析我们发现恶意劫持用户的主页的正是此文件。

LoAcc.exe会以suspend的方式创建一个新的svchost进程,并将代码注入到svchost中,不断回写注册的自启动项以保证Loacc.exe的自启动。

为了进一步的了解事情的真相,我们从该播放器的官方网站上下载了该播放器,不幸的是我们发现除了替换驱动之外,该播放器有其他相同的行为。在卸载后依然会残留LoAcc.exe文件来劫持用户主页。单独以参数Acc运行LoAcc.exe,以下截图显示了该文件注入svchost.exe的过程。

目前视频播放类软件以及各种外挂捆绑病毒的现象非常严重,各种流氓行为更是防不胜防。各种弹窗广告,修改主页等行为让人相当厌烦和尴尬。

金山毒霸提醒您,规范上网行为,安装和及时更新杀毒软件可以有效的防止此类事情的发生。尽量通过正规的视频网站和常用的视频软件来观看视频。安装此视频播放器并且导致主页被劫持的用户,可以首先卸载该播放器,然后中止loAcc.exe进程,删除文件和启动项的方式来处理。目前,金山毒霸各个版本的杀毒软件已经可以防范该恶意行为。

 

本文网址: