俗语说的好,"前有狼,后有虎",虎年,对于互联网就像一个猛兽之年...
春节前大面积爆发的"极虎"病毒还让人心有余悸,黑色产业链"趁热打铁",目前国内兽兽门事件正热,趁大量围观群众在网上疯求"兽兽门"视频下载地址的同时,众多挂马网站已经蓄势待发,利用此时机在"下载地址"的网页中挂马,近日金山毒霸的监测数据显示,其中"兽害者"木马感染量最大并且较难被根除.到底该木马有何危害?为何用户无法发觉自己系统已经中毒?如何判定自己已经中招?应该如何清除该木马?
以下是毒霸工程师对该木马的分析和建议:
病毒概述:
"兽害者"是一款功能完备的远程监控类木马,该木马会让用户毫无隐私可言,中毒后,电脑上的图片、视频、文档等文件均可能被黑客偷取.
更严重的是,如果装了视频的用户,很有可能在毫无发觉的情况下被偷窥,因为黑客可以关闭摄像头灯,让中毒者无法发觉自己已经被监视,电脑沦陷为黑客的"第三只眼"...
病毒特点:
1.伪装好、隐蔽强:该木马的启动方式比较特殊,它会伪造成PDF阅读器的服务来加载病毒体,一般的防御软件都会放行(见图1);同时,由于该木马采用线程插入系统文件的方式进驻内存(见图2),用户中毒后机器上不会有多出来的可疑进程,且占用资源较小,使用户不易发觉.该木马的后缀名伪装成.pdf,实际上是一个.dll文件(见图3)
2.不易查杀:用户在中毒后,会发现部分安全软件出现扫描按钮被禁用、提示信息一闪而过等情况,均是该病毒在通过监视窗体、类名等手段在干扰安全软件;同时,如果企图用冰刃等工具卸载掉该木马的模块,svchost.exe进程会立即复苏,导致用户无法彻底清除"兽害者"木马.
3.变种多:该木马的生成器为了逃脱杀软"特征码"的定位,采用大量字符串加密的方式,并且,该木马会释放出来的DLL文件名和服务名均是随机生成,不易定位.
图1.部分安全软件对"paodpxpf"判定为安全服务,并建议开机启动
图2.木马pckdw.pdf插入系统进程svchost.exe中
图3.木马伪装成pckdw.pdf,并将修改日期设为2002年,使用户较难发觉
中毒症状:
1.安装的部分安全软件出现按钮无法显示:如"清除"、"开始查杀"等按钮被隐藏;扫描或提示界面闪一会就消失:如"安全提示"等右下角提示的实时提示框被屏蔽.
2.用金山急救箱扫描,发现伪造成PDF阅读器的可疑开机启动服务(见图4)
3.机器网络发生间歇性堵塞,系统进程联网、上传文件(需安装网络流量监控软件)
4.安装并开启文件监控软件FileMon,会看到svchost.exe进程不断访问%System%目录下的某pdf文件(见图5)
图4.金山急救箱扫描后,发现可疑的启动服务,文件路径为%System%smshx.pdf(随机生成)
图5.FileMon监视到svchost.exe不停的访问%System%pckdw.pdf
清除方法:
1.升级到最新的金山毒霸病毒库,扫描系统盘(建议断网,阻止已受控环境下木马被转移到其他位置),杀毒后重启系统.
2.安装金山急救箱,扫描系统的关键项,如发现可疑项立即清除,并重启系统.
3.安装金山网盾,在浏览网页时,对金山网盾未信任的网站打开要慎重.
写在最后:
从央视主持人马斌的不雅照被黑客恶意盗取到兽兽门视频被疯狂转载,不论是窥视欲作祟还是金钱驱动,这些事件带给网民们更多的思考应该是如何积极的防御、保护自己的隐私,拒 绝成为黑客的"肉鸡"、网络的"僵尸".否则,你将成为下一个"兽害者"...
病毒分析组:张文君