控制面板也中招 AVG提醒用戶注意防范

    泡泡網軟件頻道10月9日 雙節過后，各行各業的人們開始陸續返回工作崗位，大家的電腦也開始進入了忙碌期。可是，習慣開機調整一下控制面板的用戶們請注意了，AVG近日發現了一個藏匿在控制面板擴展程序中的陰謀——CPL（Control Panel extension）文件為Windows下的控制面板擴展程序，這些程序通常是由控制面板啟動時加載，顯示在控制面板中。

    這些程序的擴展名稱雖是“.CPL”,但其實質卻是DLL文件。由于“.CPL”文件在系統文件關聯中以注冊，由“windows shell common Dll’”即shell32.dll調用，所以這類程序是可以直接雙擊執行的。當用戶雙擊這些程序時，系統會以“rundll32.exe shell32.dll,Control_RunDLL xxxx.cpl”的方式執行。

    由于其可以像exe程序一樣雙擊執行，如果有惡意程序偽裝此類文件，對于普通用戶具有很大的威脅。據悉，在AVG捕獲到的樣本中，就有偽裝成CPL文件的downloader木馬。

    當該文件被雙擊后，會由rundll32.exe加載執行，執行后鏈接網絡下載文件。從圖中可以看到，rundll32.exe的進程ID和TCPView中得rundll32.exe得ID相同。

    下載下來的文件會被保存到system32目錄下，并啟動該文件。從下圖可以看到，vdsps.exe得父層顯示的是rundll32.exe，進程ID是248，和上圖加載樣本的rundll32.exe進程ID相同。說明該vdsps.exe是由rundll32.exe啟動的。

    通過LoadLibrary和GetProcAddress組合獲取所需的網絡相關的API地址。

    為了防止殺軟對其網絡行為的攔截，通過“regsvr32 /u”命令來解除殺軟AVAST的網頁保護模塊，/s參數表示無聲，不出現實確認的對話框，后天隱蔽執行。通過解密代碼中的數據，獲取遠程服務器地址，以HTTP協議方式請求網絡文件。AVG安全人員表示，通過HTTP請求的文件都會被保存在system32目錄下，并通過系統API ShellExecute執行下載下來的文件。

    AVG安全人員提醒，對擴展名不常見或未知的文件一定要保持高度警惕，確保正常后再運行。AVG 2013可以更加全面的保護您的電腦，安裝AVG并更新到最新版本，就可以輕松檢測該類木馬及其衍生文件，確保您安全無憂的使用您的電腦。■