近期，利用正常软件加载病毒的案例频繁出现，相信这种问题存在于大量的软件中，因此这种利用包含大型正常软件来启动恶意病毒方式将会越来越多，看来白名单策略很快就得去除数字签名了。下面是一个利用正常迅雷程序加载病毒（伪XLBugReport.exe）的案例，同样是加载的模块/程序没有检查有效性。

　　1、病毒特征

　　runonce下面存在一个名为系统安全模块(停止可能会引起系统崩溃)的启动项目，指向文件system32.exe，路径为D:Windows Media PlayerProgram Files.运行system32.exe最终将调用XLBugReport.exe执行。

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce] <系统安全模块(停止可能会引起系统崩溃)> <D:Windows Media PlayerProgram Filessystem32.exe>  [(Verified)深圳市迅雷网络技术有限公司, 1, 0, 2, 50]

File: system32.exe Size: 579272 bytes File Version: 1, 0, 2, 50 签名公司：ShenZhen Thunder Networking Technologies Ltd. 签名时间：2009?年11月5日 11:39:06 Modified: 2010年11月15日, 13:28:22 MD5: FB58BD8118A7D7251179C276651DF7DB SHA1: 88E758D72EDBA3F607CF4F1EEC0FC115159A159E CRC32: AFB22F51

　　2、病毒加载原理

　　首先开机启动以后通过runonce启动项目启动程序system32.exe（ThunderService，带迅雷数字签名），该文件回去加载模块XLBugHandler.dll（应该是错误收集的一个功能模块，带迅雷数字签名），该模块加载以后捕获到程序异常然后生成dump文件，接着调用XLBugReport.exe准备上传生成的dump文件，因为程序没有检查XLBugReport.exe的有效性导致直接加载了伪装的XLBugReport.exe文件，从而导致用户电脑中毒。

 

　　3、伪XLBugReport.exe主要行为

　　（1）修改常见浏览器的配置文件，将主页修改为流氓作者制定的网址导航 hxxp://www.01169.com/?vip

TtConf.dat（腾讯TT浏览器） 360se.ini（360浏览器） TheWorld.ini（世界之窗浏览器）

　　（2）删除桌面快捷方式：

　　其他流氓软件创建的快捷方式：Internet Explorer.url，淘宝商城.lnk

　　安全软件快捷方式：360安全卫士.lnk，360软件管家.lnk，360杀毒.lnk，瑞星杀毒软件.lnk，修复瑞星软件.lnk，账号保险柜.lnk

　　其他浏览器快捷方式;Mozilla Firefox.lnk

　　（3）创建桌面恶意图标

　　淘宝-购物.lnk

　　目标：”C:Program FilesInternet ExplorerIEXPLORE.EXE” C:WINDOWSwebIndex.htm

　　Internet Explorer.lnk

　　（4）创建名为系统安全模块(停止可能会引起系统崩溃)的开机启动项目

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce “系统安全模块(停止可能会引起系统崩溃)”=”D:\Windows Media Player\Program Files\system32.exe”

　　原文出处：http://tech.ccidnet.com/art/1099/20101119/2247061_1.html