下載完后�,病毒會(huì)安裝兩個(gè)計(jì)時(shí)器����,循環(huán)執(zhí)行惡意代碼�。
在這段惡意代碼中�,病毒首先解析剛才下載下來的配置文件,找到要修改的程序的路徑信息����。
然后檢查要替換的組件的描述信息(判斷是否已經(jīng)被替換過)和版本信息�,來判斷是否需要替換�。
如果確定要替換,就從網(wǎng)上下載一個(gè)相關(guān)的事先修改好的文件���,然后終止該組件所屬程序的進(jìn)程���,備份原有組件,然后執(zhí)行替換����。
到目前為止,病毒已經(jīng)成功將正常組件提換成了惡意組件���。接下來讓我們看看惡意組件做了什么事情�����。
Dll的main函數(shù)代碼如下:
這段代碼不難理解��。病毒首先在注冊(cè)表的RUN鍵值里添加一項(xiàng)���,保證被替換的組件所屬的程序能自動(dòng)運(yùn)行�。然后檢測(cè)當(dāng)前系統(tǒng)環(huán)境下是否存在互斥體“Pidalce”����。如果不存在,表示病毒母體沒有運(yùn)行��,則病毒會(huì)檢測(cè)程序所在路徑下是否存在母體文件�,如果不存在,就從網(wǎng)上下載一個(gè)新的下來�����,然后執(zhí)行該母體�����。
接下來�,修改后的組件會(huì)在IE收藏夾和桌面上添加一些惡意的鏈接和快捷方式。
最后�,修改后的組件還會(huì)加載正常的組件�����。
那么修改后的組件是怎么處理dll的導(dǎo)出函數(shù)的呢?請(qǐng)看下面的代碼:
我們?cè)谏厦嫣岬綈阂饨M件會(huì)加載正常的組件,所以在惡意組件的導(dǎo)出函數(shù)中�����,惡意組件會(huì)獲得正常組件的同名導(dǎo)出函數(shù)的地址����,然后執(zhí)行。這樣就能確保程序能正常運(yùn)行了����。
從病毒下載下來的配置文件中我們看到,這個(gè)病毒會(huì)替換以下流行程序的組件:
Thunder(迅雷) PPStream PPLive StormPlayer(暴風(fēng)影音) AliWangwang(阿里旺旺) TTPlayer(千千靜聽) SogouExplorer(搜狗瀏覽器) Maxthon(傲游)
|
這些都是國內(nèi)非常受歡迎的軟件�����。目前AVG已經(jīng)將這種病毒檢測(cè)為Clicker�����,已保證這些軟件的安全使用���。
