木馬也扮靚 AVG提醒用戶切勿貪色誤事

    泡泡網安全相關頻道7月30日 在惡意軟件和反惡意軟件的對抗中，殺軟在不斷進化，病毒也變得越來越聰明。惡意程序使用圖片作為圖標并不少見，但如今的木馬程序不光費盡心思欺騙用戶，在殺軟廠商的實驗室里，它們更是努力偽裝成善意無辜的小綿羊，試圖躲過獵手的查殺。

    AVG中國病毒實驗室表示最近截獲一個樣本，此樣本來自電子郵件，附件號稱是美女圖片。

    看到這些文件，你會不會有直接雙擊打開它們的沖動？好的，那么雙擊解壓后得到兩個文件：

    細心的同學可能發現了，右邊是一個exe文件。如果運行了，就會彈出一個圖片。

    一看還真是美女圖片，不過這時你已經中招了。如果沒有左邊的“沒有預覽”圖片文件，運行exe文件則會彈出畫圖程序。

    這種情況下木馬沒有任何行為，儼然就是一個正常文件。其實這就是病毒煞費苦心的所在，因為反病毒的廠商的自動化系統一般會過濾掉不能直接執行的文件，并且運行的時候會根據程序行為判斷是否惡意并且加入到特征碼。在沒有另一個文件的時候病毒就顯示為一個完全無害的程序，以此逃過查殺。

    木馬釋放出一個jpg文件，并調用ShellExecute打開，讓用戶以為文件本身就是圖片。隨后在Program files下創建目錄“暴風2”，釋放Stormplayer.exe和Stormplayer.dll文件到改目錄中。Stormplayer是一個病毒經常利用的白程序，真正的惡意部分在Stormplayer.dll中，有合法數字簽名的Stormplayer.exe在運行時會加載stormplayer.dll，成為病毒的宿主。而殺軟常常會因為Stormplayer.exe是白文件而忽略進程的行為。

    木馬為了躲避云查殺，特意對stormplayer.dll進行了“增肥”處理，解壓出的文件大小有52M，這么大的文件云系統一般是忽略的。

    經過分析StormPlayer.dll是一個后門程序。目前該病毒母體和后面程序均已被AVG檢測為Dropper和Trojan病毒。現在的木馬程序越來越五花八門，AVG在不斷完善對用戶的保護和對病毒的監測的同時，還是要提醒廣大用戶不要輕易掉進“美女”的陷阱，及時更新您的殺毒軟件和病毒庫。■