一 木马行为

1 中毒现象（接收了最新照片和访问黄色网站）

电脑桌面有免费电影、淘宝等四个快捷方式，无法删除，金山急救箱无法打开，安全模式也无法启动，但能正常上网，怎么办呀，不想重装系统，请各位大哥帮忙

2 中毒的方式模拟

用户搜索人体艺术，我爱色色等关键字寻找到色情网站，然后为了点击播放按钮此时会下载名为处女喷水播放器的专用播放器（qvod图标），用户点击以后感染 病毒（安装过程中提示 程序错误~ (1x167925136)文件损坏，程序无法安装！）

二 金山系列产品查杀效果

1 防御测试－金山卫士木马防御可以拦截木马运行
  
2 防御测试－金山卫士网址云安全可以拦截木马下载
  
3 金山急救箱可以清理病毒添加的启动项目

 如果您担心系统被黑客攻占，苦于无处寻找杀毒软件免费下载，不妨试试金山安全旗下的安全产品好了！

三 此次病毒的特性

1 病毒特征

系统runonce下面存在一个名为系统安全模块(停止可能会引起系统崩溃)的启动项目，指向文件system32.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
<系统安全模块(停止可能会引起系统崩溃)> [(Verified)深圳市迅雷网络技术有限公司, 1, 0, 2, 50]

File: system32.exe
Size: 579272 bytes
File Version: 1, 0, 2, 50
签名公司：ShenZhen Thunder Networking Technologies Ltd.
签名时间：2009?年11月5日 11:39:06
MD5: FB58BD8118A7D7251179C276651DF7DB

2 病毒加载原理（原理流程见附件，核心的是可以绕过基于启动项云安全检测的技术，导致安全软件无法发现潜在 的病毒木马）

开机启动以后通过系统runonce启动项目启动程序system32.exe（ThunderService，带迅雷官方数字签名，启动项检测 会把这项判断为白文件），该文件会主动加载模块XLBugHandler.dll（应该是错误收集的一个功能模块，带迅雷数字签名，该文件实际负 责启动病毒），该模块加载以后捕获到主程序异常生成dump文件，同时调用XLBugReport.exe上传生成的dump文件，因为 ThunderService没有检查执行的XLBugReport.exe的文件是否安全因此直接导致加载伪装的 XLBugReport.exe文件，用户电脑中毒。

（1）黑客挖掘大型软件存在的类似DLL挟持的漏洞，如必须加载的模块，在某些情况下必定会加载的程序之类

（2）构造恶意软件，存在隐患的正常文件（通常包含大型安全软件厂商的数字签名）+ 恶意构造的必须模块（有些需要模拟导出表）

（3）写入启动项目，通常会使用“系统安全模块(停止可能会引起系统崩溃)”，360系统关键服务(结束掉可能导致系统崩溃)，QQ安全组件 保镖等作为启动项的名称，以避免被用户人肉识别或者欺骗用户不卸载

（4）目前手头收集的已经被利用的正常软件见附件（360，迅雷，QQ 相信有很多很多的软件都存在这样的问题，比如这几天流行的关于QQ游戏的数字签名是2007年，安全厂商，软件厂商很难去避免已经释放版本被利用）

3 伪XLBugReport.exe主要行为

（1）修改常见浏览器的配置文件，将主页修改为流氓作者制定的网址导航 http://www.01169.com/?vip 或者http://www.4845.com/?bddd

TtConf.dat（腾讯TT浏览器）
360se.ini（360浏览器）
TheWorld.ini(世界之窗浏览器)

（2）删除桌面快捷方式，安全软件、浏览器、其他流氓创建的快捷方式’

其他流氓软件创建的快捷方式：Internet Explorer.url，淘宝商城.lnk
安全软件快捷方式：360安全卫士.lnk，360软件管家.lnk，360杀毒.lnk，瑞星杀毒软件.lnk，修复瑞星软件.lnk，账号保 险柜.lnk
其他浏览器快捷方式;Mozilla Firefox.lnk

（3）创建桌面恶意图标

淘宝-购物.lnk（目标："C:\Program Files\Internet Explorer\IEXPLORE.EXE" C:\WINDOWS\web\Index.htm）
Internet Explorer.lnk
海西导航
 
（4）添加收藏夹

淘宝商城
单机游戏下载-咪咪游戏网[www.mimiyx.com]
文章阅读啦-[精彩美文在线阅读-心情日记]
淘宝网
爱爱奇网址导航
美女帅哥在线靓照-[小小非主流]
非主流图片全集-[非主流星图片网]
图魅艺术美图

（5）创建名为系统安全模块(停止可能会引起系统崩溃)的开机启动项目

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
"系统安全模块(停止可能会引起系统崩溃)"="D:\\Windows Media Player\\Program Files\\system32.exe"

金山卫士查杀木马能力更强、检测漏洞更快、体积更小巧的免费安全软件。它独家采用双引擎技术,云引擎能查杀上亿已知木马，独有的本地V10引擎可全面清除感染型木马；漏洞检测针对windows7优化，速度比同类软件快10倍；更有实时保护、软件管理、插件清理、修复IE、启动项管理等功能，全面保护您的系统安全。点击下载金山卫士>>