|
||||
近日,金山網絡截獲到一個特殊的後門程序『 F117 隱形木馬』 ,該木馬用兩種特殊的加載方式啟動,繞過眾多安全軟件的防御系統。使用金山毒霸 2011 快速掃描,可檢查電腦是否已被 F117 隱形木馬控制。
主流殺毒軟件的主動防御會監視系統數百個敏感的加載點,一旦發生改變就會報警提醒。而這個被命名為 F117 隱形木馬,卻未使用常規的加載方法,而是利用兩個特殊的系統服務來實現開機自動運行。
『這兩處加載點處於眾多主流殺毒軟件的監視盲區,就象給戰機涂裝了隱形材料,傳統雷達就會變成瞎子』。金山毒霸工程師這樣形容這個 F117 隱形木馬。如果不幸運行,精通系統管理的技術人員使用 Autoruns 和任務管理器也不能發現該木馬的運行痕跡,使用 Tcpview 之類的網絡監視工具可以發現系統存在危險連接。
除使用特殊的加載方式以外, F117 隱形木馬還使用垃圾信息填充自身,使程序體積增大到 80MB 左右,用來逃避殺毒軟件的雲安全系統。『體積小巧的程序被雲安全系統收集只是一瞬間的事兒,病毒把自己變大,就是防止後門程序被殺毒軟件的雲安全系統收集。』金山毒霸工程師解釋說,目前針對大文件的收集難題已被金山毒霸攻克。
一段時間以來,眾多網民曾遭遇過朋友 QQ 線上借錢,事後纔發現是朋友的 QQ 被盜,而被騙後卻無法挽回損失。金山毒霸工程師在分析 F117 隱形木馬之後判斷:這個功能強大的木馬可能與此類網絡詐騙活動有關。該木馬還會盜竊熱門網游帳號、監聽剪貼板、記錄鍵盤操作。僅從代碼量分析,他認為 F117 隱形木馬的功能遠不止這些。
F117 隱形木馬主要通過 QQ 傳播,病毒集團利用盜取的 QQ 號發送『 q q . 載 . 未 . 命 . 名 .. .. .. . .rar 、我 的 照 片 .rar 』等壓縮文件給好友,若誤以為是朋友發送的照片,雙擊後,還會真的打開一張照片,與此同時,木馬程序已經運行。
針對 F117 隱形木馬的特殊加載方式,金山毒霸工程師對現有的防殺系統進行改進,可以完全清除該木馬。曾經接收過朋友照片的網友,可使用金山毒霸快速查殺來診斷電腦是否已被植入 F117 隱形木馬。另外,使用內置的防黑客補丁對系統加固,以避免電腦被遠程黑客輕易入侵。