? ? ? 许多广告程序、流氓软件以及恶意软件会锁定用户电脑的浏览器首页,强迫用户访问一些导航网站,自己从中赚一笔推广费。针对这种行为,杀毒软件和安全辅助工具进行了全力封杀,可不法分子还是不甘心总是想方设法绕过安全监测窜改浏览器首页,这不,一种利用Shim技术的新招数在网上流出开来。
? ? ? Shim是什么鬼?Shim是Windows系统用于修补应用程序的小型数据库,例如1.sdb就是一个Shim,它的用处是拦截API调用、修改参数并进行其他操作,例如一款软件使用Shim技术后,可以通过它修改 Windows函数地址,将其替换为Shim中替代函数的指针。看不懂?那算了,这个说起来就太复杂,大家只需要知道这个技术是用来解决应用程序与操作系统不兼容的就行,曾经微软还用它来修复漏洞!
?
? ? ? 由于Shim在安装时Windows系统没有对它做安全性校验,不法分子发现它可以用来干坏事,以QianSet.exe木马为例,QianSet.exe入侵电脑后释放updat_xx.exe,updat_xx.exe运行后释放一个DLL恶意链接到AppPatch目录,并安装Shim文件,Shim文件安装后会在注册表生成对应信息{429E4075-95CE-4E90-8AA9-E56C4C199DCF}.sdb,之后就是通过它修改系统参数完成浏览器首页的窜改行为。
?
将恶意Shim信息写入注册表
? ? ? 那木马是怎么传播的呢?主要通过为捆绑在正常软件的方式混入电脑,例如捆绑在极客虚拟光驱中,然后在论坛、QQ群共享中散播。因此,要避免病毒的新花招要提高警惕,不要选择来历不明的软件,还可以借助杀毒软件和安全辅助工具来防御病毒,目前主流的安全厂商都已经注意到木马的变化,加大了查杀力度。
| ????? |
?