诱人专用播放器　背后暗藏病毒木马黑客

【赛迪网-IT技术报道】宅男、上网、上H网，这个都知道，不细说了，下面这位小犀利哥的杯具故事，就当是个教训吧。

一、必须安装的专用播放器

色既是空，空既是色。宅男自封小犀利，成天无事就找小电影，一路顺着百度的指引来到某站。列表刷刷的整齐，要什么门就有什么门，口水溅的键盘上稀里哗啦都是。这个**门......想看，那个**门......也想看，还都免费。代价是装一个“专用”播放器，专用就专用，反正偶就是要看。点击，下载。咣铛，被金山网盾无情地拦截了。关了金山网盾，我看你还拦。

关掉，下载，安装。哈，原来这播放器就是快播嘛，还搞个神经兮兮的“专用”，看他个昏天黑地，一夜无话。

二、打不了汉字了

次日，开机上QQ，GF扔过来个消息，“晚上去看《叶问2》， 自带钱包干粮”。

小犀利一乐，昨晚下个《叶问2》种子打开没反应，幸好没看成。按ctrl+空格切输入法，一切不出来，再切还是没有。那边GF在催了，“死鬼，哪儿去了， 再不回话，我拉御姐去看，不叫你了。”

小犀利暗暗叫苦，咋打不了字呢，先拼音吧“JJ，shurufahuaile，dabulezile”

GF那边又骂了，死鬼，屡教不改是吧，老实交待，又看啥了。宅男无语，只得把昨天下载的那个专用播放器发过去。GF乃当今少有“上得了厅堂，下得了厨房，杀得了木马，翻得了围墙，开得起好车，买得起好房，斗得过小三，打得过流氓”的当代御姐。三下五除二，把这个专用播放器解剖完毕。

解压发现这个看起来象快播的QvodSetup.exe解压以后，文件包含了两个文件QVODSE~1.EXE（快播下载器，用于安装正式的快播）和QVODZ~1.EXE（木马下载器），当你运行QvodSetup.exe的时候，会同时执行两个程序，由于病毒文件会在后台偷偷运行，你不会感觉到任何的异常，但是实际上木马下载器正在后台下载大量的盗号木马。

三、木马做了什么？

1.破坏输入法

（1）先看一段关于病毒的日志（从这个日志告诉我们盗号木马将一个名为TIM5.tmp的文件重新命名为TIM5.ime），同时他会将自己注册为默认的中文输入法。他为什么要这么做呢？

Copy(C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\TIM5.tmp->C:\\WINDOWS\\system\\TIM5.ime)

（2）这个神奇的IME文件背后有什么秘密呢：

* 它是输入法的后缀名，让你可以随心所欲的选择最适合自己的输入法。比如WINABC.IME是智能ABC输入法，PINTLGNT.IME是微软拼音输入法，QQPinyin.ime是QQ输入法，sougoupy.ime是搜狗输入法。

* 当你打字的时候名为TIM5.ime的盗号木马就会因为你切换输入法而启动，之后就可以监控你电脑里面游戏的运行，当你输入用户名密码的时候就会发现已经被黑客盗取了。

*这种盗号木马启动的优势主要有：

a 没有启动项目，你从注册表啊，进程啊里面很难看到可疑的启动点。当你选择输入法的时候会把盗号木马启动起来，从而实现神不知鬼不觉的加载。

b 一旦杀毒软件清除这个文件而没有修复文件，你会发现平时随心所欲的输入法怎么不见了。

（3）对于大部分人可以发现的可疑现象如下：

2.破坏DirectX运行库（d3d8.dll.d3d9.dll、ddraw.dll、dsound.dll、olepr032.dll等）

（1）再看一段日志（从这个日志我们发现盗号木马将ddraw.dll重命名为ddraw.dll.XTIJ ，然后重新创建了一个伪装的ddraw.dll）

Renamed: C:\\WINDOWS\\system\\ddraw.dll

Modifed: C:\\WINDOWS\\system\\ddraw.dll.XTIJ

Renamed: C:\\WINDOWS\\system32\\ddraw.dll

Modifed: C:\\WINDOWS\\system32\\ddraw.dll.XTIJ

Renamed: C:\\WINDOWS\\system32\\dllcache\\ddraw.dll

Modifed: C:\\WINDOWS\\system32\\dllcache\\ddraw.dll.XTIJ

Created: C:\\WINDOWS\\system\\ddraw.dll

Modifed: C:\\WINDOWS\\system\\ddraw.dll

Created: C:\\WINDOWS\\system32\\dllcache\\ddraw.dll

Modifed: C:\\WINDOWS\\system32\\dllcache\\ddraw.dll

（2）盗号木马为什么会创建一个伪装的ddraw.dll，它的目的又是什么呢？

* 为什么病毒会patch（即修改）这些文件呢（ddraw.dll等）？

答案：这些文件都与DirectX有关。

* 为什么病毒不patch其他程序独独迷上了DirectX相关的dll文件呢？

答案：绝大多数的在线游戏都使用DirectX来渲染图形（比如永恒之塔、DNF、天堂、魔兽世界游戏都是热门网游，同时也是盗号者最青睐的盗号对象）

* 当游戏加载的时候肯定会加载这些dll文件，因此盗号木马也被第一时间加载。每次启动游戏就相当于启动了一次病毒。

* 这种破坏DirectX组件，再盗号的木马有哪些优势，主要有：

a 没有启动项目，你从注册表里面很难看到可疑的启动点。

b 感染系统文件，如果你仅仅相信文件名的话你可能永远也无法发现你电脑已经感染了盗号木马。

c 杀毒软件到底是删除还是不删除呢，删除了游戏不能玩，不删除游戏账号安全得不到保障。

（3）感染了此类病毒以后，若简单的删除病毒创建的DLL，你会发现类似以下的现象：

四、小结（小犀利哥杀毒、做检讨、写保证书）

各位没有想到的是，因为输入法不能用，暴露了小犀利哥上H网的罪恶，被御姐罚杀毒、写检讨保证书并处跪CPU半小时。

小犀利哥更没想到，这200Kb的文件竟然造成了系统中73项破坏（输入法不见了，d3d8.dll.d3d9.dll、ddraw.dll、dsound.dll、olepr032.dll这几个对游戏运行至关重要的系统文件也被病毒修改）

本来无比神勇的御姐装好了，但小犀利哥还是因自制力不强，无法抵挡H网的诱惑，杯具呀杯具。