欢迎来到 安全网 ! 请记住我们的网址 http://www. hack58 .Com

一个“兽兽门”木马的分析

来源:转载 作者:佚名 时间:2010-03-23 14:05:04

俗语说的好,"前有狼,后有虎",虎年,对于互联网就像一个猛兽之年... 

  
春节前大面积爆发的"极虎"病毒还让人心有余悸,黑色产业链"趁热打铁",目前国内兽兽门事件正热,趁大量围观群众在网上疯求"兽兽门"视频下载地址的同 时,众多挂马网站已经蓄势待发,利用此时机在"下载地址"的网页中挂马,近日金山毒霸的监测数据显示,其中"兽害者"木马感染量最大并且较难被根除.到底 该木马有何危害?为何用户无法发觉自己系统已经中毒?如何判定自己已经中招?应该如何清除该木马? 

  
以下是毒霸工程师对该木马的分析和建议: 

  
病毒概述: 
"兽害者"是一款功能完备的远程监控类木马,该木马会让用户毫无隐私可言,中毒后,电脑上的图片、视频、文档等文件均可能被黑客偷取. 

  
更严重的是,如果装了视频的用户,很有可能在毫无发觉的情况下被偷窥,因为黑客可以关闭摄像头灯,让中毒者无法发觉自己已经被监视,电脑沦陷为黑客的"第 三只眼"... 

  
病毒特点: 
1.伪装好、隐蔽强:该木马的启动方式比较特殊,它会伪造成PDF阅读器的服务来加载病毒体,一般的防御软件都会放行(见图1);同时,由于该木马采用线 程插入系统文件的方式进驻内存(见图2),用户中毒后机器上不会有多出来的可疑进程,且占用资源较小,使用户不易发觉.该木马的后缀名伪装成.pdf,实 际上是一个.dll文件(见图3) 

2.不易查杀:用户在中毒后,会发现部分安全软件出现扫描按钮被禁用、提示信息一闪而过等情况,均是该病毒在通过监视窗体、类名等手段在干扰安全软件;同 时,如果企图用冰刃等工具卸载掉该木马的模块,svchost.exe进程会立即复苏,导致用户无法彻底清除"兽害者"木马.

 

3.变种多:该木马的生成器为了逃脱杀软"特征码"的定位,采用大量字符串加密的方式,并且,该木马会释放出来的DLL文件名和服务名均是随机生成,不易 定位.

 
中毒症状:
1.安装的部分安全软件出现按钮无法显示:如"清除"、"开始查杀"等按钮被隐藏;扫描或提示界面闪一会就消失:如"安全提示"等右下角提示的实时提示框 被屏蔽.
2.用金山急救箱扫描,发现伪造成PDF阅读器的可疑开机启动服务(见图4)
3.机器网络发生间歇性堵塞,系统进程联网、上传文件(需安装网络流量监控软件)
4.安装并开启文件监控软件FileMon,会看到svchost.exe进程不断访问%System%目录下的某pdf文件(见图5)
 
3.安装金山网盾,在浏览网页时,对金山网盾未信任的网站打开要慎重.
 
写在最后:
从央视主持**斌的不雅照被黑客恶意盗取到兽兽门视频被疯狂转载,不论是窥视欲作祟还是金钱驱动,这些事件带给网民们更多的思考应该是如何积极的防御、保 护自己的隐私,拒 绝成为黑客的"肉鸡"、网络的"僵尸".否则,你将成为下一个"兽害者"...

作者系毒霸研发部病毒分析员