热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

一个“兽兽门”木马的分析

发布时间:2010-03-02 13:17文章来源:未知文章作者:黑白前线 点击次数:
摘要:俗语说的好,前有狼,后有虎,虎年,对于互联网就像一个猛兽之年... 春节前大面积爆发的极虎病毒还让人心有余悸,黑色产业链趁热打铁,目前国内兽兽门事件正热,趁大量围观群众在网上疯求兽兽门视频 下载 地址的同 时,众多挂马网站已经蓄势待发,利用此时机在下载地...

俗语说的好,"前有狼,后有虎",虎年,对于互联网就像一个猛兽之年...
  

春节前大面积爆发的"极虎"病毒还让人心有余悸,黑色产业链"趁热打铁",目前国内兽兽门事件正热,趁大量围观群众在网上疯求"兽兽门"视频下载地址的同 时,众多挂马网站已经蓄势待发,利用此时机在"下载地址"的网页中挂马,近日金山毒霸的监测数据显示,其中"兽害者"木马感染量最大并且较难被根除.到底 该木马有何危害?为何用户无法发觉自己系统已经中毒?如何判定自己已经中招?应该如何清除该木马?
 

 以下是毒霸工程师对该木马的分析和建议:
 
 病毒概述:
"兽害者"是一款功能完备的远程监控类木马,该木马会让用户毫无隐私可言,中毒后,电脑上的图片、视频、文档等文件均可能被黑客偷取.
 
 

更严重的是,如果装了视频的用户,很有可能在毫无发觉的情况下被偷窥,因为黑客可以关闭摄像头灯,让中毒者无法发觉自己已经被监视,电脑沦陷为黑客的"第 三只眼"...
 

 

病毒特点:
1.伪装好、隐蔽强:该木马的启动方式比较特殊,它会伪造成PDF阅读器的服务来加载病毒体,一般的防御软件都会放行(见图1);同时,由于该木马采用线 程插入系统文件的方式进驻内存(见图2),用户中毒后机器上不会有多出来的可疑进程,且占用资源较小,使用户不易发觉.该木马的后缀名伪装成.pdf,实 际上是一个.dll文件(见图3)
 

 

2.不易查杀:用户在中毒后,会发现部分安全软件出现扫描按钮被禁用、提示信息一闪而过等情况,均是该病毒在通过监视窗体、类名等手段在干扰安全软件;同 时,如果企图用冰刃等工具卸载掉该木马的模块,svchost.exe进程会立即复苏,导致用户无法彻底清除"兽害者"木马.
 

 

3.变种多:该木马的生成器为了逃脱杀软"特征码"的定位,采用大量字符串加密的方式,并且,该木马会释放出来的DLL文件名和服务名均是随机生成,不易 定位.
 

图1.部分安全软件对"paodpxpf"判定为安全服务,并建议开机启动
图2.木马pckdw.pdf插入系统进程svchost.exe中
图3.木马伪装成pckdw.pdf,并将修改日期设为2002年,使用户较难发觉
 
中毒症状:
1.安装的部分安全软件出现按钮无法显示:如"清除"、"开始查杀"等按钮被隐藏;扫描或提示界面闪一会就消失:如"安全提示"等右下角提示的实时提示框 被屏蔽.
2.用金山急救箱扫描,发现伪造成PDF阅读器的可疑开机启动服务(见图4)
3.机器网络发生间歇性堵塞,系统进程联网、上传文件(需安装网络流量监控软件)
4.安装并开启文件监控软件FileMon,会看到svchost.exe进程不断访问%System%目录下的某pdf文件(见图5)
图4.金山急救箱扫描后,发现可疑的启动服务,文件路径为%System%smshx.pdf(随机生成)
救箱,扫描系统的关键项,如发现可疑项立即清除,并重启系统.
 
3.安装金山网盾,在浏览网页时,对金山网盾未信任的网站打开要慎重.
 
写在最后:
从央视主持**斌的不雅照被黑客恶意盗取到兽兽门视频被疯狂转载,不论是窥视欲作祟还是金钱驱动,这些事件带给网民们更多的思考应该是如何积极的防御、保 护自己的隐私,拒 绝成为黑客的"肉鸡"、网络的"僵尸".否则,你将成为下一个"兽害者"...

作者系毒霸研发部病毒分析员

标签分类: 反病毒

上一篇:详解操作系统如何预防常见木马技巧
下一篇:一次网马分析过程