查看完整版本: 美女种子遭热捧，种子神器捆绑木马

美女种子遭热捧，种子神器捆绑木马

近日，泷泽萝拉、画皮 2 等关键词一度飙升，相关热门影片的搜索请求量居高不下，同时也给了木马散播可乘之机。电脑管家分析发现，网络流行的种子搜索软件 P2pSearcher 中，被黑客修改捆绑了一款新型“神器终结者”木马，对网友的电脑安全造成严重威胁。

     P2pSearcher 是一款基于 P2P 技术的资源搜索软件，利用它无论是电影、小说、图片还是音乐都可以轻松搜索；正是因为它资源非常丰富，网友亲切的称它为“种子搜索神器”。

     电脑管家安全专家分析发现，“神器终结者”木马主要危害是黑客可以将任意木马种植到用户电脑。其传播方式主要伪装成 P2pSearchr 并通过贴吧、论坛等方式诱骗用户下载。一旦用户电脑没有安装专业安全防护软件，电脑就会被“神器终结者”劫持。

     “神器终结者”木马内置目前广泛利用的 PHP 解析器，并辅以精心构造的恶意脚本来实现躲避流行安全软件查杀并潜藏用户电脑的目的。


附：p2psearcher捆绑病毒木马简单分析

一、危害介绍
该样本主要利用正常的php的解析器程序来解析运行病毒脚本程序，再由病毒脚本程序从指定的URL下载/更新病毒木马运行。

二、该下载者行为
1、当用户运行p2pSearcher(种子搜索器) 后，会生成C:\Program Files\phptest\目录，并释放病毒文件-win.exe,（正常的PHP解析器）cp.dll（病毒PHP脚本）。





2、该被捆绑的p2pSearcher(种子搜索器) 在系统"启动"文件夹中创建快捷方式link文件,该link文件目标指向 win.exe cp.dll,只要该link得到运行，就会调用win.exe（病毒利用的正常的PHP解析器）去解析运行 cp.dll(病毒脚本)--使该病毒下载者能够自启动运行。





3、cp.dll(病毒PHP脚本)得到运行后，会计算当前的木马程序的MD5，然后再指定的URL去询问该病毒木马是否为最新的版本，如果不是最新的版本就到指定的URL拉取最新的病毒木马并运行。