网上存在各种各样的木马,每一类木马都有它的特点,比如灰鸽子木马就是完全控制电脑,监控摄像头,窃取隐私文件等;又如盗号器就专门盗取某款网络游戏的帐号密码。还有广告木马目的就是疯狂的弹出广告……
QQ电脑管家目前截获的一类新型木马,它采用了类似猫藓下载器的重启复活技术,采用了驱动木马的rootkit技术破坏安全软件,采用了云端控制的方式来控制中毒的电脑,类似远程控制木马的模块(测试环境中未发现下载)
QQ电脑管家对这款木马分析后发现它具备了以下几个特点:顽固难清理、云端控制、隐蔽性强
特征1:顽固难清理,重启又复活
QQ电脑管家发现绝大多数难以清除的顽固木马都会使用一种臭名昭彰的技术:将木马子体放到所有程序的安装目录下,利用系统DLL挟持技术实现自动加载重启复活。这款木马就在电脑中释放了大量恶意的LPK.dll,你的所有程序都变成了广告电击器和木马启动器,一个处理不好就导致电脑反复中毒。
特征2:云端控制
根据QQ电脑管家分析发现,这个木马会访问一个网址来获得云端IP地址,然后通过这个IP地址下载配置文件,配置文件中包含有木马下载地址,并且在分析过程中我们发现木马中还包含有一个名为PlusCtrl.dll(从字面意思上是控制扩展)。
该文件需要从服务器下载,测试环境下此文件未发现可能是木马预留的功能,根据对同名文件的分析我们猜测这个文件可能是用来控制中毒者桌面,文件,摄像头,键盘输入等操作)来提供高级功能。下图是从云端下载的IE锁木马,会锁定用户IE浏览器主页为hao12368.com
特征3、隐蔽性强
这个木马为了隐藏自己不被发现会采用“换心”技术,这种技术的特点是找一个很正常的程序如记事本,此木马使用的是Svchost.exe(电脑很多功能都由它提供,比如IP地址获取。DNS解析,因此电脑里面通常包含有很多个同名进程),然后将木马程序强行注入到Svchost进程里面,此时Svchost就像是一个空壳里面的心已经变成了木马文件。
