科技网

当前位置: 首页 >智能

AVG高清视频播放器恶意劫持用户主页年

智能
来源: 作者: 2019-02-09 12:59:09

AVG:高清视频播放器恶意劫持用户主页

泡泡

摘要:随着络视频的不断发展,观看视频的主要途径已经从电视转移到了络,我们可以通过络自由地选择我们喜爱的视频节目,但是由于国内对影视作品的版权和内容的审核,我们无法看到某些含有特殊内容的视频,或者需于是要付费观看某些视频。这个时候某些视频播放器就有了自己的市场,无视版权快速发布最新的影视作品,发布包含敏感...

随着络视频的不断发展,观看视频的主要途径已经从电视转移到了络,我们可以通过络自由地选择我们喜爱的视频节目,但是由于国内对影视作品的版权和内容的审核,我们无法看到某些含有特殊内容的视频,或者需要付费观看某些视频。这个时候某些视频播放器就有了自己的市场,无视版权快速发布最新的影视作品,发布包含敏感内容的视频,以吸引用户安装使用。但是天下没有免费的午餐,很多用户在安装视频播放器的同时,轻则被恶意捆绑安装其他插件,重则感染各种病毒。

近来AVG中国区病毒实验室截获一系列下载器,这些下载器都伪装成安全软件的下载器。诱导用户双击后会连接到远程服务器下载病毒。

随后该下载器会弹出一个具有诱惑性的站,而且该站列举了其“七大优势”,包括国内外各种禁片搜素等等。据AVG病毒实验室介绍,需要观看相关视频的用户必须安装对应的播放器,诱使用户下载安装,并且我们从截图中可以看到此播放器给自己披上了PPTV的合法外衣。AVG安全人员为我们详细分析了该恶意程序运行原理。

一花独放不是春

在安装的过程中,我们发现该播放器并非PPTV,而是一款叫做哈哈高清视频的播放器。仅管在安装过程中我们选择不安装任何插件,但是安装完毕后我们的发现主页仍然被劫持,然后重定向到一个名为搜狗址导航的站。恢复主页重启后仍然会被重新劫持。在卸载该播放器之后,我们发现劫持主页的现象仍然存在,并且发现卸载后用户的%system32%目录下有e,以及nk的文件残留。并且在自启动项加入该lnk文件以保证e的开启自启动。

同时该文件拥有和该播放器其他组件相同的数字签名,并且p2p加速器的形式存在。经过分析我们发现恶意劫持用户的主页的正是此文件。

e会以suspend的方式创建一个新的svchost进程,并将代码注入到svchost中,不毅然转学新闻专业断回写注册的自启动项以保证e的自启动。

为了进一步的了解事情的真相,我们从该播放器的官方站上下载了该播放器,不幸的是我们发现除了替换驱动之外,该播放器有其他相同的行为。在卸载后仍然会残留e文件来劫持用户主页。单独以参数Acc运行e,以下截图显示了该文件注入e的过程。

以下截图显示了其恶意劫持用户的行为:

目前视频播放类软件以及各种外挂捆绑病毒的现象非常严重,各种流氓行为更是防不胜防。各种弹窗广告,修改主页等行为让人相当厌烦和尴尬。AVG提醒您,规范上行为,安装和及时更新杀毒软件可以有效的防止此类事情的发生。尽量通过正规的视频站和常用的视频软件来观看视频。安装此视频播放器并且导致主页被劫持的用户,可以首先卸载该播放器,然后中止e进程,删除文件和启动项的方式来处理。

AVG高清视频播放器恶意劫持用户主页年

目前,AVG各个版本的杀毒软件已经可以防范该恶意行为。

岩石电钻厂商报价
三星手机三星
耐克和李宁

相关推荐