远程控制木马:按一次空格木马就执行一次
昨日,金山毒霸云安全捕获到一类远程控制木马,木马使用空格作为快捷键,按一次空格,木马就执行一次,当木马程序被某些杀毒软件删除时,按空格会立刻报错。
这种新型远程控制木马寄生于某些热门游戏破解补丁或游戏修改器中,传播者声称该游戏破解工具或游戏修改器会被杀毒软件误报,要运行须关闭杀毒软件。若玩家关闭杀毒软件后运行所谓“游戏修改器或破解工具”,一个远程控制木马会立刻运行,病毒同时创建一个快捷方式,使用空格键来运行该快捷方式。
网络安全专家指出,由于该病毒的最终目的是远程控制用户电脑,因此,一旦发现按空格键出现异常,应立刻使用专业杀毒软件强力查杀。
新远控木马一按空格就触发应立刻查杀
网友小Z求助:“一按空格就报加载twain32.dll时出错,键盘都没法用了。”11月16日,金山毒霸云安全捕获到一类远程控制木马,木马创建的快捷方式使用空格做为快捷键,按一次空格,木马就执行一次。当木马程序被某些杀毒软件删除时,按空格会立刻报错。
图1 简单删除病毒文件之后,按空格立刻报错
金山毒霸安全专家指出,这种新型远程控制木马寄生于某些热门游戏破解补丁或游戏修改器中,传播者声称该游戏破解工具或游戏修改器会被杀毒软件误报,要运行须关闭杀毒软件。
这种描述很容易突破游戏玩家的心理防线,若玩家关闭杀毒软件后运行所谓“游戏修改器或破解工具”。一个远程控制木马会立刻运行,病毒同时会创建一个快捷方式,使用空格键来运行该快捷方式。
图2 病毒创建的快捷方式,可见按空格会导致病毒程序运行
金山毒霸安全专家指出,任何修改系统启动项的行为都会触发杀毒软件报警,病毒作者创建这种快捷方式,用空格键来启动病毒,可以逃避杀毒软件检测。仅当用户敲击空格键时,才会导致远程控制木马运行。
部分杀毒软件在处理该病毒时,只是删除了病毒执行文件,而未将病毒创建的快捷方式删除。中毒用户按空格键时,就会立刻报告“加载twain32.dll时出错”。由于该病毒的最终目的是远程控制用户电脑,使玩家面临极大危险。建议发现按空格键异常的网友立刻使用金山毒霸强力查杀。
图3 金山毒霸可完全清除该远程控
站长评论:
又是国内非主流黑客发明的“启动”方式,这种方式在可用性方面就如同感染可执行文件,看似强大,实际上很脆弱,很容易导致用户系统出问题,只会过早的暴露自己,只能用于一些市面上的垃圾“远控”。
高匿后门谁用这非主流手法啊,还是那句话,国内的木马没有什么看头(参阅文章:RAT结构演变史:详细讲述 Bifrost、Flux、Poison Ivy 的结构:https://lcx.cc/post/1752/)。
另外,这新闻,也是金山自我炒作……
留言评论(旧系统):