会员登录 注册新帐号电脑店行业门户 | U盘启动工具

首页

 电脑店主页 > 产品技术 > 网络安全 > 安全 > 病毒木马 > 腾讯电脑管家12月安全报告:“狼人杀”病毒入侵数十万电脑

腾讯电脑管家12月安全报告:“狼人杀”病毒入侵数十万电脑

发布时间:2017-01-19 15:28      点击:     关注官方微博:

近日,腾讯电脑管家发布了《12月病毒木马安全形势报告》(以下简称报告),报告不但详细分析了可绕过国内绝大部分安全软件检测和查杀的“狼人杀”后门病毒,还公布了12月热门影视剧木马、热门节日木马等,并给出了相应的解决方案。据悉,“狼人杀”病毒极为隐藏,已经影响全国数十万用户,而腾讯电脑管家除了在行业率先发现该病毒之外,也已经首发查杀技术。

“狼人杀”影响数十万电脑 多种技术伪装逃避安全检测

日前,腾讯反病毒实验室发现一个潜伏在数十万电脑深处的内核级病毒,因其在“晚上”(合适时机)会开始运行并在下一个“白天”继续潜伏,被腾讯安全技术人员命名为“狼人杀”。该病毒通过多种技术手段隐藏并保护自身,骗过了绝大多数安全软件的检测和查杀,具有隐蔽、难检测,顽固、难查杀,云控、作恶灵活,用户难感知等特点。不仅如此,一旦用户电脑中招,该病毒的作者只需在云端按需按时下发指令,就能完全掌控用户机器,最终窃取用户的隐私文件、游戏和银行账号密码等个人数据。

(腾讯电脑管家查杀修复图)

经腾讯电脑管家安全技术人员分析发现,“狼人杀”病毒能作为后门潜伏于用户电脑上,运行后,会率先检测用户电脑当前运行环境,包括是否安装安全软件,以及是否为网吧机器、虚拟机和安全分析人员机器等。随后,病毒的作者会将检测结果上传到C&C服务器,试图避开价值不大且易曝光的机器,从而将被发现的几率降至最低,并针对有价值的“肉鸡”派发作恶插件。而为了进一步躲避安全软件检测,“狼人杀”病毒会通过欺骗文件系统来隐藏、保护自身。此外,该病毒的驱动启动时间设置得非常早,启动后还会将其启动路径修改为随机路径,然后随机找一个系统驱动文件拷贝到该路径(drivers\随机路径.sys),并且还会通过注册cmpcallback回调保护services下注册表项,达到干扰安全软件检测的目的。

(病毒启动后修改自身的启动路径为随机路径)

(干扰安全软件检测)

腾讯电脑管家安全技术人员进一步指出,“狼人杀”病毒运行后会进行网络测试,只要任何一个域名端口测通后测试就会停止,并通过该端口会连接到服务器。一旦成功连接到服务器会将机器信息,包括之前获取到的运行环境等上传,随后接收指令,通过网络下载C&C派发的主要功能插件。而“狼人杀”病毒主要功能都是通过这些插件来实现,并且能随时下载各种功能插件到本地执行,完成各种复杂功能。更为严重的是,插件下载地址、是否热启动热升级、文件类型、运行平台、宿主进程、运行权限等全部恶意行为都能进行配置。一旦完成这些行为,用户电脑将被全面攻陷,沦为“肉鸡”。目前,针对“狼人杀”病毒,腾讯电脑管家还推出了专门修复的支线版本(http://dwz.cn/4Q7ewM),广大网友可通过链接进行下载。

病毒木马紧跟热点 四六级考试及热门影视剧均遭波及

12月除了狼人杀病毒,各类影视剧、新年等热点也成为病毒木马传播借助的话题。随着网络剧《鬼吹灯之精绝古城》的热播,以及《神奇动物在哪里》及《血战钢锯岭》等热门电影的上映,网上出现了大量以其完整版命名的病毒木马文件。网友一旦下载这些病毒木马文件,便会静默安装多款流氓软件、锁定浏览器主页及疯狂乱弹广告等,严重影响了电脑的正常使用,甚至还会进行盗取用户账号、操纵电脑、实施诈骗勒索等行为。


腾讯安全反病毒实验室专家马劲松表示,不法分子利用病毒木马的作案手法不断升级,用户要增强安全防范意识,尽量从正规渠道获取相关文件及资料,不要下载陌生人分享的资源。对于安全性不明的文件,不要被诱惑性的名称误导,下载软件、观看影视剧最好通过官方正规渠道。同时要时刻开启腾讯电脑管家,并定期对电脑体检,可有效防范病毒木马的攻击。此外,随着考期的临近,不法分子纷纷抓住考试节点,在网络上传播相关主题的病毒木马文件。进入12月以来,随着各类技能考试的先后展开,不法分子将目标瞄准备考人群,通过所谓的“泄题记录”、“解析视频”、“考试答案”等内容欺骗考生。春节抢票同样如此,一些病毒木马伪装成抢票软件,一旦运行,导致电脑系统乱弹广告、浏览器首页被篡改、被推装大量不必要的软件。腾讯电脑管家均在第一时间拦杀这些病毒木马,保障用户电脑安全。

★★★ 电脑店行业门户(www.diannaodian.com)独家文章,欢迎大家转载 ★★★