AVG：“尸魂”下载器光棍节大跳脱衣舞，借尸还魂又金蝉脱壳

　　AVG光棍节预警：守好门户，谨防“尸魂”下载器肆虐

　　随着互联网的发展，安全厂商利用基于网络的“云”实现了对恶意软件的更快速的反应和用户程序的更广的覆盖，然而于此同时恶意软件也利用互联网对自己进行了技术提升。在就光棍节前夕，AVG中国实验室捕获一款恶意下载器样本，此病毒不光作为更进一步入侵的跳板，更是让自己本身成为新下载病毒的“外衣”。这样使得每次这个“尸体”的运行，都能让受害者中到“最新”的病毒。并且该样本使用了大量的针对性的躲避安全软件检测、主动防御和反编译的方法，增大恶意软件的分析检测的难度，以确保自己更长时间的存活。AVG实验室将其命名为“尸魂。”

　　如上图，图标非常不起眼，很容易让人麻痹大意。

　　从静态分析过程中不难发现，此程序的运行时节是完全正常的，给人一种是普通的VC程序的错觉;但进入程序主体之后，会发现存在许多的无用的分支和干扰性的API调用。病毒这样做是为了增加人工分析和启发式检测的难度。

　　病毒利用了指令拼凑字符串的手法防止基于字符串的启发式检测。

　　病毒访问几个备选的网站，通过URL 下载自己的“灵魂”。

　　如果联网失败，病毒不会有任何行为。因此在安全厂商的隔离病毒实验室里面可能完全检测不到任何恶意行为。

　　如果通过浏览器url我们可以发现页面的内容类型被标记为“图片”，而实际上数据并非为图片的数据，而是加密后的dll文件。

　　下载成功后病毒把文件保存在临时文件夹下面随机目录中，取名为ms_mod_log_xxxx.log(x为随机值)。 后面的动作不像一般病毒那样把文件保存然后加载磁盘中的解密文件，而是在内存中解密此文件，映射进内存，手动导入表。查找入口，进入运行。这样在磁盘中就没有下载的文件的影子。

　　进入下载的恶意dll中之后病毒获得主机的硬盘ID和串号，与服务器通信报告肉鸡情况。安装恶意驱动保护自身;安装服务以确保自身运行，又进一步下载其他文件。到底正式宣告了用户计算机被占领。

　　这种“云病毒”的借尸还魂的做法既保持了自我更新，又保护了在线获得的“灵魂”不被基于文件的反病毒引擎查杀;此类病毒依赖于互联网，在无网情况下又给人一种安全的假象。可谓一举多得。

　　目前此病毒已被AVG检测为Downloader.Agent2.AVRF。无论是收费版还是免费版的用户，只要开机自动更新病毒库，就会有效阻止该病毒的侵袭。

　　AVG也借此提醒广大用户，在2011年11月11日这个日益让人忍不住“疯狂”的日子，不要被那些大幅的闪烁广告迷花了眼，一定要去正规的购物网站购买物品庆祝节日，并开启您的网络安全防护;同时，也请大型的购物网站做好自检，给广大的网民一个真正的狂欢。

　　AVG 最周密的网络保护者