AVG:高清視頻播放器惡意劫持用戶主頁

    泡泡網安全相關頻道9月21日 隨著網絡視頻的不斷發展，觀看視頻的主要途徑已經從電視轉移到了網絡，我們可以通過網絡自由地選擇我們喜愛的視頻節目，但是由于國內對影視作品的版權和內容的審核，我們無法看到某些含有特殊內容的視頻，或者需要付費觀看某些視頻。這個時候某些視頻播放器就有了自己的市場，無視版權快速發布最新的影視作品，發布包含敏感內容的視頻，以吸引用戶安裝使用。但是天下沒有免費的午餐，很多用戶在安裝視頻播放器的同時，輕則被惡意捆綁安裝其他插件，重則感染各種病毒。

    近來AVG中國區病毒實驗室截獲一系列下載器，這些下載器都偽裝成安全軟件的下載器。誘導用戶雙擊后會連接到遠程服務器下載病毒。

    隨后該下載器會彈出一個具有誘惑性的網站，而且該網站列舉了其“七大優勢”，包括國內外各種禁片搜素等等。據AVG病毒實驗室介紹，需要觀看相關視頻的用戶必須安裝對應的播放器，誘使用戶下載安裝，并且我們從截圖中可以看到此播放器給自己披上了PPTV的合法外衣。AVG安全人員為我們詳細分析了該惡意程序運行原理。

    在安裝的過程中，我們發現該播放器并非PPTV，而是一款叫做哈哈高清視頻的播放器。僅管在安裝過程中我們選擇不安裝任何插件，但是安裝完畢后我們的發現主頁依然被劫持，然后重定向到一個名為搜狗網址導航的網站。恢復主頁重啟后依然會被重新劫持。在卸載該播放器之后，我們發現劫持主頁的現象依然存在，并且發現卸載后用戶的%system32%目錄下有LoAcc.exe,以及LoAcc.link的文件殘留。并且在自啟動項加入該lnk文件以保證LoAcc.exe的開啟自啟動。

    同時該文件擁有和該播放器其他組件相同的數字簽名，并且p2p加速器的形式存在。經過分析我們發現惡意劫持用戶的主頁的正是此文件。

    LoAcc.exe會以suspend的方式創建一個新的svchost進程，并將代碼注入到svchost中，不斷回寫注冊的自啟動項以保證Loacc.exe的自啟動。

    為了進一步的了解事情的真相，我們從該播放器的官方網站上下載了該播放器，不幸的是我們發現除了替換驅動之外，該播放器有其他相同的行為。在卸載后依然會殘留LoAcc.exe文件來劫持用戶主頁。單獨以參數Acc運行LoAcc.exe，以下截圖顯示了該文件注入svchost.exe的過程。

    以下截圖顯示了其惡意劫持用戶的行為：

    目前視頻播放類軟件以及各種外掛捆綁病毒的現象非常嚴重，各種流氓行為更是防不勝防。各種彈窗廣告，修改主頁等行為讓人相當厭煩和尷尬。AVG提醒您，規范上網行為，安裝和及時更新殺毒軟件可以有效的防止此類事情的發生。盡量通過正規的視頻網站和常用的視頻軟件來觀看視頻。安裝此視頻播放器并且導致主頁被劫持的用戶，可以首先卸載該播放器，然后中止loAcc.exe進程，刪除文件和啟動項的方式來處理。目前，AVG各個版本的殺毒軟件已經可以防范該惡意行為。■