近期，利用正常软件加载病毒的案例频繁出现，相信这种问题存在于大量的软件中，因此这种利用包含大型正常软件来启动恶意病毒方式将会越来越多，看来白名单策略很快就得去除数字签名了。下面是一个利用正常迅雷程序加载病毒（伪XLBugReport.exe）的案例，同样是加载的模块/程序没有检查有效性。

1、病毒特征

runonce下面存在一个名为系统安全模块(停止可能会引起系统崩溃)的启动项目，指向文件system32.exe，路径为D:\Windows Media Player\Program Files.运行system32.exe最终将调用XLBugReport.exe执行。

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 

<系统安全模块(停止可能会引起系统崩溃)>  
 
[(Verified)深圳市迅雷网络技术有限公司, 1, 0, 2, 50]  

File: system32.exe 

Size: 579272 bytes 

File Version: 1, 0, 2, 50 

签名公司：ShenZhen Thunder Networking Technologies Ltd. 

签名时间：2009?年11月5日 11:39:06 

Modified: 2010年11月15日, 13:28:22 

MD5: FB58BD8118A7D7251179C276651DF7DB 

SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E 

CRC32: AFB22F51  

2、病毒加载原理

首先开机启动以后通过runonce启动项目启动程序system32.exe（ThunderService，带迅雷数字签名），该文件回去加载模块XLBugHandler.dll（应该是错误收集的一个功能模块，带迅雷数字签名），该模块加载以后捕获到程序异常然后生成dump文件，接着调用XLBugReport.exe准备上传生成的dump文件，因为程序没有检查XLBugReport.exe的有效性导致直接加载了伪装的XLBugReport.exe文件，从而导致用户电脑中毒。

3、伪XLBugReport.exe主要行为

（1）修改常见浏览器的配置文件，将主页修改为流氓作者制定的网址导航 hxxp://www.01169.com/?vip

TtConf.dat（腾讯TT浏览器） 

360se.ini（360浏览器） 

TheWorld.ini（世界之窗浏览器）  

（2）删除桌面快捷方式：

其他流氓软件创建的快捷方式：Internet Explorer.url，淘宝商城.lnk

安全软件快捷方式：360安全卫士.lnk，360软件管家.lnk，360杀毒.lnk，瑞星杀毒软件.lnk，修复瑞星软件.lnk，账号保险柜.lnk

其他浏览器快捷方式;Mozilla Firefox.lnk

（3）创建桌面恶意图标

淘宝-购物.lnk

目标："C:\Program Files\Internet Explorer\IEXPLORE.EXE" C:\WINDOWS\web\Index.htm

Internet Explorer.lnk

（4）创建名为系统安全模块(停止可能会引起系统崩溃)的开机启动项目

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 

"系统安全模块(停止可能会引起系统崩溃)

"="D:\\Windows Media Player\\Program Files\\system32.exe"

【编辑推荐】

1. 软件行业爆最大“流感” 百万用户速成病毒携带者
2. AV终结者病毒现象以及传播方式与防范措施