原帖:
第三方loader简单分析
http://bbs.blackbap.org/forum.php?mod=viewthread&tid=2612&fromuid=4372
今天就给各位大牛带来个病毒的黑盒分析吧,了解最新的病毒走向。
样本信息
File Name: 3.exe
File MD5: 280C68A4D66EDB9A31B021441A871BBA
今天这个病毒比较有意思,利用的是暴风影音的文件。
现在病毒流行一种新的玩法:第三方loader
问:什么是第三方loader呢?
简单来说,比如启动正常的xxx.exe白文件,它会去加载一个xxx.dll白文件。
然而xxx.exe白文件去加载xxx.dll白文件的时候没有去做安全校验。。。。
病毒作者就开始邪恶了,把xxx.dll替换成一个自己写的dll文件。
那么病毒就被加载起来了,对于现在杀软的防御机制来看,拦截的效果不太理想。
——————————————————————————————————————
正常的暴风影音文件bfUpdate.exe被利用加载一个木马文件Update.dll
——————————————————————————————————————————
先给大家发个简单的分析吧
请大家最近不要随便接陌生人的文件,尽管你用杀软右键扫描不是病毒,也要谨慎