病毒瞄准国内流行软件,迅雷遨游均成目标
病毒替换Windows系统文件早已不是什么新鲜事了。但是替换应用程序的组件却一直很少见,这多半是因为触发较难或者通用性不够。过去我们见到过的大部分相关案例是病毒会替换QQ的组件来盗取用户的QQ秘密。而最近,AVG截获到一种会替换国内流行软件的组件来实施恶意行为。而这些流行软件中包括了迅雷、遨游、阿里旺旺等几乎装机必备的软件。
这款病毒首先会从网上下载一个配置文件,里面包含了一些重要信息,包括替换哪些软件的组件,如何去替换。
Virustotal uploader,简称VTU,是一个可以上传文件到virustotal.com并常看扫描结果的客户端工具。现在的最新版本是2.0,默认的是安装版本,目前已经被汉化绿化。
用了几次之后,我发现VTU有个不符合使用习惯的地方。VTU如果发现文件的扫描结果在virustotal.com上已经存在,默认会直接打开最新扫描结果的页面,然后才会让你选择是否“重新上传”;如果你选择了“重新上传”,VTU就打开Virustotal上让你选择“reanalyse”还是“view latest report”的页面,也就是说,你还得再点击“reanalyse”才能打开最后的重新扫描的结果页面。
我觉得这个有点累赘了,因为如果你需要重新扫描文件的话,你得操作两次才能得到结果。我觉得应该在一开始就给用户一个选择“直接查看最新扫描结果”还是“重新扫描”的机会。
周末没啥事,也不想贪玩,就给VTU做了点小手术。patch了两块地方:
1:如果发现文件扫描结果已经在virustotal上存在,弹出对话框,让用户选择是“打开已有的最新报告页面”还是“打开重新扫描的结果页面”。
2:如果选择了“打开重新扫描的结果页面”,则直接跳转到重新扫描的页面,而非“选择reanalysze还是view latest report”的页面。
修改后的运行界面如下:
从2005年12月起,
我,一共写了289篇博客。
你,是第358105位访客。
