|
日前,騰訊電腦管家截獲一款名為Win32.Trojan.Rbot.cuob的活躍木馬,該木馬通常藏身于熱門游戲(如穿越火線等)外掛中,中招后將成為黑客的肉雞,任其擺布,輕則導(dǎo)致電腦卡慢或死機,重則丟失游戲或網(wǎng)銀賬號,造成經(jīng)濟損失。騰訊電腦管家可實現(xiàn)該木馬的完美查殺,建議用戶在下載使用外掛前啟動電腦管家進行快速掃描,如已中毒,請啟動全盤掃描查殺。
據(jù)騰訊電腦管家高級工程師介紹,中毒后有以下幾種癥狀: 1.被盜號、被偷錢。 2.電腦卡、慢或死機。當木馬接受指令,對遠程計算機進行攻擊時,自身電腦資源將會大大消耗,導(dǎo)致用戶計算機變慢,變卡,嚴重者將會死機; 3.成為黑客攻擊其他網(wǎng)站的幫兇。從目前管家的數(shù)據(jù)來看,每天至少有上千臺電腦成為這個僵尸網(wǎng)絡(luò)的一員,如果這個僵尸網(wǎng)絡(luò)一旦發(fā)作,可以讓一個小型網(wǎng)站瞬間崩潰。 【木馬行為分析】 據(jù)騰訊電腦管家提供的木馬檢測和分析報告顯示: 木馬運行之后會在受害機上注冊一個服務(wù)用于自啟動,之后將惡意代碼注入svchost.exe中,開始上傳受害機的相關(guān)電腦信息,等待黑客指令。通過收到的指令,木馬將會發(fā)動網(wǎng)站攻擊、下載木馬等惡意行為。 1.木馬拷貝自身到%system32%/WinHvqf32.exe,然后創(chuàng)建名為WinHmks32的服務(wù)。顯示服務(wù)名為WindowsHshlSystem,服務(wù)描述WindowsHxonSystemforX32windowsdesktop。 2.刪除木馬母體本身。 3.WinHvqf32.exe,創(chuàng)建進程svchost.exe,并將自身注入其中。 4.svchost.exe獲取本機信息,包過本地的地址,CPU,磁盤,系統(tǒng)等信息,發(fā)動到服務(wù)器。 5.Svchost.exe連接服務(wù)器,獲取指令。指令包括卸載病毒服務(wù),下載更新病毒,發(fā)動網(wǎng)絡(luò)攻擊。發(fā)動的攻擊類型為“WebDownFileFlood”、“TCPSendData”、“TCPMutilConnect”、“TCPConnect”等洪水攻擊。
(木馬行為邏輯圖) |
