病毒會利用防毒軟體嗎? [翻譯] (文章自 AVG 病毒分析師)

haol

原作者：
Jason Zhou & Hynek Blinka

文章來源：
http://viruslab.blog.avg.com/2011/03/virus-uses-antivirus.html

作者的标题很有趣，一开始就提到病毒跟防毒软体的关联。网盾很受欢迎，确实网路上流传有些漏洞可以利用网盾来攻击，重点是网盾的自我保护很脆弱吗?不知道?
原文章发表一段时间了，我最近看到觉得很有趣所以随手翻了(如果翻译有错误请指正，谢谢)

-------------------------------------------------- -------------------------------------------------- ----------------------------
病毒利用防毒软体( Virus uses Antivirus )吗?
通常，我们谈论病毒和防毒软体，它是多少跟侦测有些有关系。所以如果我说一个恶意程式( malware )利用防毒软体去做坏事，这将会很有趣？

最近，AVG 捕捉到一种绑架首页的( StartPage )恶意程式，这个恶意程式利用金山网盾( Kingsoft WebShield )作为它完成目的的一部分。

在中国金山是最受欢迎的防毒软体公司之一，它的网盾( web shield )是被设计来保护使用者安全地在网路上浏览免于网路钓鱼( phishing )和带有网马的网页( injected websites )的威胁。它有两个著名的功能，锁住IE 的首页( homepage )和网页重导( page redirection )，这就是为什么恶意程式想占便宜( take advantage of )。

这个恶意程式混合了从金山来的模组：


很明确的如果我们查看数位签章( the digital signatures )：


还有经过修改的设定档：



其中kws.ini 包含首页设定，当然会填满假的连结( faked URLs )如同你可以看到全部的细节：



还有Spitesp.dat 包含了首页重导的连结清单。这意味着，如果你试着去存取这些网页，你将会被重新导向特定的首页或是预先设定明确的连结( URL )：


就看一下那些连结。我们可以看到一些受欢迎的网页是包括在里面的。

所以这个恶意程式是怎么利用金山网盾去做坏事的?

事实上，这个恶意程式被包装在NSIS 安装档( Nullsoft Install System )。底下是由AVG 引擎从安装档反编译的脚本( script )。


首先，我们可以看到这个恶意程式将搜寻名字为KSWebShield.exe 的进程( process )，这是指金山网盾正在执行。如果它发现该行程，那么它将会停止和移除金山网盾的系统服务程序( Kingsoft WebShield service )。

接着，恶意程式注入( drop )需要的金山网盾模组到下列的目录：


第三，它将会注入一些设定档(之前所说的)，放到预设金山网盾将会读取的文件夹：


最后，这个恶意程式将执行一个批次档( a batch file )来安装，还有执行金山网盾的系统服务程序。


到目前为止金山网盾被已设定的恶意程式利用已经生效了。这就是说，如果你试着存取在那些设定档中被监听的网页，你的浏览器首页会被欺骗还有你将被重导到假的首页。


金山网盾是一个很有效的浏览器( browser )保护工具，也许因为它很有效，它吸引恶意程式的兴趣。不幸地，恶意程式可以只是改变设定档利用这个权限( this power )去做坏事。对其他人来说这是一个警告？
--------------------------------------------------------------------------------------------------------------------------------

猪头无双

传说中的“金锁”木马国内厂商玩剩下的了

haol

現在還有效?

猪头无双

早入库了

zhangxujian11

就是类似于假的防病毒软件啊

-oAo-

有过这种事

david_ten

现在应该没有用了

u1310

AVG还是先把自家LinkScanner卡IE导致加载速度慢的缺点改进好了再去研究别人的吧

maomao110

u1310 发表于 2011-3-29 12:06
AVG还是先把自家LinkScanner卡IE导致加载速度慢的缺点改进好了再去研究别人的吧

我和你看法一致[:26:]

追梦空间

此贴有深度，先回复了再慢慢看