卡巴斯基：警惕木馬入侵計(jì)算機(jī)

事實(shí)上，木馬與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是"善意"的控制，因此通常不具有隱蔽性。木馬則完全相反，木馬要達(dá)到的是"偷竊"性的遠(yuǎn)程控制，如果沒有很強(qiáng)的隱蔽性的話，那就是"毫無價(jià)值"的。由于其具有很強(qiáng)的隱蔽性和危害性，木馬往往被用作各種用途，其最廣泛的應(yīng)用便是盜取用戶數(shù)據(jù)以及網(wǎng)銀財(cái)產(chǎn)。另外，還有一些專門針對某個(gè)聊天工具或者應(yīng)用程序而設(shè)計(jì)的專用木馬。木馬的藏身之地很多，它們可以藏在配置文件中，偽裝在普通文件中，或是在驅(qū)動(dòng)程序中藏身等等。近日，卡巴斯基實(shí)驗(yàn)室檢測到一種木馬，命名為：Trojan-Spy.Win32.KongHoo.am。

該木馬運(yùn)行后會(huì)首先檢查系統(tǒng)中是否有avp.exe進(jìn)程，如果沒有則將自身拷貝至C:Program FilesInternetExplorervbaddin.sys。之后木馬會(huì)從自身名為DATEINFO 的資源中釋放一個(gè)DLL文件至C:Program FilesInternet Explorervbaddin.tdm，從名為DATEINF1的資源中釋放文件至 C:Program FilesInternet Explorer ray.cur，并將vbaddin.tdm 注入到explorer.exe進(jìn)程中，然后創(chuàng)建Shell Execute Hooks啟動(dòng)項(xiàng)使得vbaddin.tdm 每次啟動(dòng)都會(huì)被explorer加載。最后木馬會(huì)創(chuàng)建名為_Ms.bat的bat文件將自身刪除。所釋放的vbaddin.tdm 被卡巴斯基檢測為Trojan-Spy.Win32.KongHoo.ag，會(huì)從http://www.she*****pk.com/images/logo.gif下載配置文件，并根據(jù)此配置文件修改用戶hosts文件、劫持用戶瀏覽器、向用戶計(jì)算機(jī)中下載運(yùn)行其它惡意程序。

木馬的危害可謂數(shù)不勝數(shù)，最需要我們防御的就是對個(gè)人數(shù)據(jù)和財(cái)產(chǎn)的盜取，像一些木馬專門盜取用戶的網(wǎng)游賬號，成功后，并立即將帳號中的游戲裝備轉(zhuǎn)移，然后其背后操控者可以通過出售這些盜取的游戲裝備和游戲幣而獲利。還有網(wǎng)銀木馬，可以采用鍵盤記錄等方式盜取網(wǎng)銀帳號和密碼，直接導(dǎo)致用戶的經(jīng)濟(jì)損失。還有的木馬可以開啟用戶的計(jì)算機(jī)后門，讓用戶在毫不知情的情況下操控用戶計(jì)算機(jī)，使其成為僵尸網(wǎng)絡(luò)構(gòu)建的有力工具。

目前，大多數(shù)安全解決方案已能對木馬進(jìn)行查殺，但卡巴斯基實(shí)驗(yàn)室還是要提醒廣大的用戶保持好對這些安全軟件的更新，不要讓木馬有機(jī)可乘。不要隨便訪問來歷不明的網(wǎng)站，使用來歷不明的軟件，很多盜版或破解軟件都攜帶木馬。此外，也不要輕信"好友"發(fā)來的信息中的鏈接，因?yàn)椋芸赡苓@些鏈接是不安全的。如今的木馬已經(jīng)能嫻熟地利用社交網(wǎng)絡(luò)來尋找入侵機(jī)會(huì)了。只要做好基本的防范措施，包括更新安全解決方案、給應(yīng)用程序裝補(bǔ)丁，簡單的一些操作就可以確保我們不受到木馬的危害。