|
||||
隨著網絡罪犯掌握的計算機犯罪技術越來越先進,他們已經不滿足於手動開發新型木馬、病毒等惡意程序,而是采用更為方便的病毒生成器根據需要批量產出各種類型的惡意程序。這大大增加了惡意程序的傳播量。不僅如此,通過批量產生的惡意程序功能復雜,而且危害性很大,這無疑使得本來就不樂觀的網絡安全現狀變得更為嚴峻。
以卡巴斯基實驗室最近檢測到的一種名為『Dark盜號木馬』的惡意程序(Trojan-GameThief.Win32.OnlineGames.vyrt)為例。我們分析一下此類惡意程序的具體行為和危害。『Dark盜號木馬』感染計算機後,會首先將自身加載為服務,以便每次開機時自動運行。並且此木馬的主程序還做過『免殺』和『過主動防御』處理,可以通過修改字符串大小寫、數字1和英文I的混淆、添加正常程序的版本信息繞過常見反病毒軟件的檢測。如下圖所示:
此木馬的自我保護措施還包括釋放驅動文件,恢復SSTD,從而使大多數反病毒軟件功能失效,避免被檢測和清除。 如下圖所示:
使一些常見安全軟件失效
木馬主程序運行後,會注入代碼到系統進程svchost.exe或iexplore.exe中 ,自動連接黑客指定的遠程服務器地址,從而使被感染的計算機成為完全受黑客控制的傀儡計算機,即通常所說的肉雞。接著,木馬會下載大量其他惡意程序,用於竊取用戶的機密信息以及游戲帳號等。除了這一功能,黑客還可以利用受感染計算機組成的僵屍網絡,對指定網站或用戶進行DDoS攻擊,破壞網絡世界的正常秩序,造成嚴重的破壞。更為可怕的是,這種木馬是通過生成器制造,黑客只需修改配置信息就可生成自己需要的病毒程序,而且生產規模也相當可觀。下圖所示為木馬監聽端口、發送數據包給黑客:
卡巴斯基實驗室提醒廣大網民在網上衝浪以及計算機操作時,提高警惕性,不要輕易打開來歷不明的文件,以免感染此類惡意程序造成損失。同時,也請網民不要過度驚慌,因為只要計算機安裝可靠的反病毒軟件並及時更新,就能夠有效阻止此類感染的發生。