对于木马病毒,相信大家一定都不陌生。但是谈及何为“木马病毒”?木马病毒的特点是什么?它又是如何运作的?谈及这些问题,因为会有很多人不清楚!接下来我们以风极一时的“瘦男孩“为视角,为大家揭开木马病毒的神秘面纱!
一、木马病毒工作原理及运作机制:
网购木马“瘦男孩”(Lanker-Boy)的工作原理是通过篡改支付订单数据,以达到劫持受害网友交易资金的目的。该木马家族最早出现在2014年9月,360QVM组追踪分析Lanker-Boy传播路径估算,国内已有约百万台电脑受到该木马家族的威胁,一些游戏外挂网站和兼职刷单聊天群是Lanker-Boy木马传播的主要阵地。
网购木马最早在2010年前后出现,与早期的网购木马相比,Lanker-Boy具有更高明的免杀手段,其解密运行恶意代码的机制使传统特征码杀毒引擎不能很好应对,而且该木马作者以Lanker-Boy的账号在各大杀毒软件论坛“主动反馈误报”,通过社工欺骗手段蒙混过关,木马也因此具有更强的传播力和更多的存活空间。具体传播途径看下图,大家就可明了!
二、木马特点
1)主动上报
传统情况下,木马作者会躲避和杀毒软件的接触,从而避免木马被查杀。而“Lanker-Boy”的木马作者在编写完木马后,第一时间将木马上传给杀毒厂商,伪装“游戏大厅”的程序被误报,要求杀毒厂商删除病毒特征。而国内某些厂商收到木马后,不但没能及时发现,反而去除了原本可以查杀的特征。
根据VirusTotal扫描显示,截止2015年4月7日,全球安全厂商中仅有360可以查杀“Lanker-Boy”的重要组件Lanker.dll。
2)隐蔽性强
一旦木马作者成功骗过杀毒软件,使其删除特征,后面的恶意行为操作就无法被查杀。
打开木马压缩包可看到3个文件:
设置显示隐藏文件与后缀名后:
木马主程序为“123 .exe”,其图标类似普通记事本图标,目的是诱导用户点击。点击后会加载同目录下的非PE文件,并解密执行。由于主程序并不涵盖实际恶意代码,其它文件又为无实际意义的非PE文件,致使传统的特征引擎并不能很好得查杀。
3)传播性强
由于有了前两个前提条件,再加上普通用户又很容易被其图标所迷惑,该木马就可以在短时间内大量的传播,据360QVM组统计,国内目前已有约百万用户受到该木马的威胁。
三、木马详细分析
加载过程:
判断文件名是否包含空格,如不包含则执行正常程序,包含则执行恶意代码。目的是躲过一些杀毒厂商不严格的审核机制。
文件名中不包含空格时:运行该病毒时,会弹出一个伪装成游戏大厅自动更新的程序。
通过小编的介绍,大家是否对木马病毒
