随着网络罪犯掌握的计算机犯罪技术越来越先进,他们已经不满足于手动开发新型木马、病毒等恶意程序,而是采用更为方便的病毒生成器根据需要批量产出各种类型的恶意程序。这大大增加了恶意程序的传播量。不仅如此,通过批量产生的恶意程序功能复杂,而且危害性很大,这无疑使得本来就不乐观的网络安全现状变得更为严峻。
以卡巴斯基实验室最近检测到的一种名为“Dark盗号木马”的恶意程序(Trojan-GameThief.Win32.OnlineGames.vyrt)为例。我们分析一下此类恶意程序的具体行为和危害。“Dark盗号木马”感染计算机后,会首先将自身加载为服务,以便每次开机时自动运行。并且此木马的主程序还做过“免杀”和“过主动防御”处理,可以通过修改字符串大小写、数字1和英文I的混淆、添加正常程序的版本信息绕过常见反病毒软件的检测。如下图所示:
此木马的自我保护措施还包括释放驱动文件,恢复SSTD,从而使大多数反病毒软件功能失效,避免被检测和清除。 如下图所示:
使一些常见安全软件失效
木马主程序运行后,会注入代码到系统进程svchost.exe或iexplore.exe中 ,自动连接黑客指定的远程服务器地址,从而使被感染的计算机成为完全受黑客控制的傀儡计算机,即通常所说的肉鸡。接着,木马会下载大量其他恶意程序,用于窃取用户的机密信息以及游戏帐号等。除了这一功能,黑客还可以利用受感染计算机组成的僵尸网络,对指定网站或用户进行DDoS攻击,破坏网络世界的正常秩序,造成严重的破坏。更为可怕的是,这种木马是通过生成器制造,黑客只需修改配置信息就可生成自己需要的病毒程序,而且生产规模也相当可观。下图所示为木马监听端口、发送数据包给黑客:
卡巴斯基实验室提醒广大网民在网上冲浪以及计算机操作时,提高警惕性,不要轻易打开来历不明的文件,以免感染此类恶意程序造成损失。同时,也请网民不要过度惊慌,因为只要计算机安装可靠的反病毒软件并及时更新,就能够有效阻止此类感染的发生。