vpc32.exe_rundll32.exe系统错误_svchost.exe占网速

木马下载器病毒，顾名思义是感染后会在后台偷偷下载木马的一类病毒，并且其不断下载的木马种类繁多，破坏行为也多种多样，这就会给用户的系统安全和虚拟财产带来无法估计的威胁。此类病毒变种较多，危害较大，本文则针对性的选取其中一种做分析介绍。

本篇介绍的木马下载器病毒特点是伪装成输入法文件，注入系统进程达到自动加载的目的，并且攻击安全软件。由于大多数软件以及安全软件都需要加载输入法或者未屏蔽输入法文件，所以该病毒可以不费吹灰之力让大部分安全软件加载病毒，从而实现“自杀”的效果。此类木马主要通过钓鱼网站传播，当用户登录挂马网站时该病毒会自动下载到用户电脑并执行，给用户的网络财产安全带来巨大危险。vpc32.exe

病毒行为分析

a. 遍历进程查找如下进程：avp.exe，kswebshield.exe，kav32.exe，Mctray.exe，Rtvscan.exe，mcshield.exe，如果找到则不断释放其内存，直至其进程崩溃退出为止。

b. 在系统文件夹下创建一个模仿标准的输入法文件格式写的winagi.ime文件。winagi.ime文件通知系统加载该输入法，函数查找窗口以及其子窗口，使得对应进程加载该输入法文件，由于大多数软件以及安全软件都需要加载输入法或者未屏蔽输入法文件，因此这时候该输入法文件就会大量的“注入”到这些进程中，这些进程就成为了病毒的傀儡。

c. 创建一个线程，每隔8秒，创建一次针对如下进程的映像劫持项：360rpt.EXE，SuperKiller.EXE，360sd.EXE，arpfw.EXE，krnl360svc.EXE，360safe.EXE，360tray.EXE，360safebox.EXE，safeboxTray.EXE，AvMonitor.EXE，Ravservice.EXE，RTRAY.EXE，RavMon.EXE，IceSword.EXE，Iparmor.EXE，KVWSC.EXE，RavTask.EXE，KVMonxp.KXP，KVSrvXP.EXE，Navapsvc.EXE，Nod32kui.EXE，ekrn.EXE，egui.EXE，KRegEx.EXE，Frameworkservice.EXE，Mmsk.EXE，Ast.EXE，WOPTILITIES.EXE，Regedit.EXE，VPC32.EXE，VPTRAY.EXE，ANTIARP.EXE，R.EXE，KASARP.EXE，kwatch.EXE，kavstart.EXE，KPFW.EXE，Runiep.EXE，GuardField.EXE，GFUpd.EXE，Rfwstub.EXE，rfwmain.EXE，RavStub.EXE，ScanFrm.EXE，RsAgent.EXE，Rsaupd.EXE，rfwProxy.EXE，rfwsrv.EXE，SREngLdr.EXE，ArSwp.EXE，TrojanDetector.EXE，Trojanwall.EXE，TrojDie.KXP，PFW.EXE，HijackThis.EXE，AutoRun.EXE，KpfwSvc.EXE，kissvc.EXE，kav32.EXE，VsTskMgr.EXE，naPrdMgr.EXE，ccEvtMgr.EXE，mcshield.EXE，KSWebShield.EXE。

病毒现象

1） 杀毒软件及一些安全检测工具无常运行，相关进程被映像劫持。

图1：病毒创建多个针对安全软件的映像劫持项

2） 系统多个进程被加载winagi.ime文件，该文件位于C:\WINDOWS\system32目录下，带有数字签名，十分具有迷惑性。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-42535-1.html