警惕送上门的“chinese(simple)”输入法

部分反病毒工具无法运行？莫名其妙多出了一个“chinese(simple)”输入法？如果出现了这些问题，您可能已经中了一中新的伪装成文件夹的病毒，伪“chinese(simple)”输入法病毒利用文件夹图标进行伪装。

图 1

伪“chinese(simple)”输入法病毒在C:\WINDOWS\system32\下创建随机文件名的log文件，并写入解密后的数据。此文件实际上是作为dll文件来使用，使用log后缀只是为了迷惑用户。该文件提供了一部分功能给病毒主体使用，而从另一方面，此文件是一个输入法的支持文件。 用于后续输入法的安装。当然，这个输入法是恶意的。

图 2

通过安装输入法“chinese(simple)”向系统中嵌入病毒，并设置该输入法为首选项从而达到常驻的目的。此病毒没有使用普遍的注册表修改的方法常驻系统(如添加run项)，而是使用输入法的功能注入系统，这使得该病毒更难被用户察觉，具有很高的隐藏性。

图 3

创建目录"C:\Program Files\Common Files\realteck"(这个路径看起来就象声卡驱动厂商的某个文件，以方便隐藏和伪装)并复制病毒本身到此目录下，更名为cboidp.pif，从而备份病毒本体。

图 4

在“C:\Windows\system\”下释放一个随机名的驱动程序(对于Windows XP来说，大部分驱动文件是在windows\system32目录下)，并为其创建名为“aaanz”的服务启动，创建设备符号名“\\.\ESETNOD”，此驱动的目的是终止各种杀毒软件，从而使病毒可以正常的运行。

通过镜像劫持(Image File Execution Options)拦截大量反病毒工具，使其无法正常运行，由于条目过多，这里只列出一页。实际的长度有5页。

图 5

在此我们以注册表编辑工具“regedit.exe”为例说明镜像劫持的危害，在下图中我们可以看到“Regedit.EXE”项，表明注册表编辑器已被拦截。

图 6

现在我们通过开始菜单尝试运行注册表编辑器

图 7

回车后发现注册表编辑器并没有运行起来。这样我们就无法正常编辑注册表，同样的原理，杀毒软件的主程序也会执行失败，病毒也起到了保护自身的目的。

此外该病毒还强行的修改了用户的浏览器首页。

图 8

图 9

病毒最终的目的是在输入法每次启动的时候都会到网络上下载木马并立刻运行。而病毒作者通过此后门可以将最新的木马下载到目标的计算机中，从而危害用户计算机的安全。