成熟的木马有不一样的作用!

2018-06-23    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

        近我为了与恶意软件作斗争,已经弄得手忙脚乱了。最近一次是发生在上周五,我的一个朋友打电话告诉我,说他的电脑运行起来有些异常。简单询问了几个问题之后,我基本上确定他的电脑已经被什么东西感染了。

  一般情况下,这并不是什么大事。作为一个技术支持人员,我总是为朋友和客户准备一台备用的笔记本,以便在我维护他们自己的电脑时,可以让他们继续自己的工作。因此我的朋友一旦有电脑问题,都会先找到我。但是这次,我的备用笔记本已经借出去了,听到这个消息,我感觉他几乎绝望了。

  这里要解释一下,我的这个朋友的工作是证券交易员,他需要在周日傍晚用电脑连接到远东股票市场,进行交易操作。在听完了他电话中的一大堆诉苦的内容后,我不得不重复了我很久前给他的建议:你应该再为自己准备一台备用电脑,以便在今天这种情况下不必抓狂。

  探究问题

  一般情况下,我会考虑立即采用一键恢复来帮助他解决问题,但是这次我没有这么做,一方面是因为我在最初给他安装系统的时候就忘记做一键恢复的功能了,另一方面是我时间刚好比较充裕,很好奇到底是什么恶意软件导致他的系统出现问题的,因为我的电脑日后也可能会出现类似的问题。我知道他的电脑总是会保持更新,因此被恶意软件感染的事情实际上很少会发生。

  所幸的是,我不用担心保存他电脑中的工作数据,因为他有在移动硬盘上备份工作数据的好习惯。于是我尽我所能开始了调查工作。这台电脑运行起来确实有些怪异。我首先查看的是Microsoft更新列表。

 



 

  我用资源管理器查看了 C:Windows下的文件,所有的补丁都在这里。仔细检查了一下,我发现$NtUninstallKB956803$ 文件夹有问题,补丁没有被安装。这个补丁文件夹指向了 MS08-066补丁。 我很奇怪在Windows自动更新过程中为什么没有安装这个补丁。这是不是安全防护措施中的某个漏洞导致的呢?上面那个截图显示它应该是被安装了的。

  恶意软件名为跳跳虎,太过分了

  在我研究这台问题电脑之前,我曾经在网上进行过相关问题的搜索。其中我看到了一篇 iDefense 的安全专家Michael Ligh 所写的文章为什么我喜欢Tigger/Syzor 。哇,这可真是一个可恶的木马。据Ligh在文章中的介绍, Tigger/Syzor是目前最成熟的木马之一:

  “这个木马借用了Windows系统的权限升级漏洞 (MS08-066),这个漏洞在 Milw0rm上有所介绍。它会通过特殊的手段,比如通过守护进程向电脑用户发出格式错误信息,向命名管道发送特殊字符,以及使用程序自身额API等方式来禁用Windows Defender,Windows Firewall, Outpost, Avira, Kaspersky, AVG,以及 CA 系列产品。”

  刚才我们也注意到,这台问题电脑在安装升级补丁时遇到的问题就是与MS08-066相关。这已经给了我足够的提示。Ligh在文章中还表示:

  “木马会安装一个在安全模式下可以运行的rootkit。这个rootkit会禁用系统内核的debuggers, hooks FAT 和NTFS文件系统驱动,另外还会防止其它进程访问内核驱动内容,以便阻止诸如GMER和IceSword这样的系统检查工具在内存中覆盖.sys文件。

  Tigger当然还会将代码注入用户模式进程。其组件可以进行屏幕截图,hook COM 组件,以便窃取浏览器中的信息,探知密码(如受密码保护的存储设备,网络和拨号密码,以及聊天软件,电子邮箱,远程接入程序的密码等)。另外它还能盗取web cookies,盗取证书,并将网卡设置为promiscuous 模式以便侦听 FTP和 POP3密码。”

  以上这些功能使得 Tigger/Syzor 成为了一款让人印象深刻的木马。但这还不是全部,据 ThreatExpert.com 的研究显示,这款木马还包含了键盘记录,收集系统信息,开启系统后门,甚至与命令和控制服务器取得联系的功能。通过Malware Domain List ,我们可以知道这个木马所使用的联络域名是什么。

  Tigger/Syzor 也试图做好事

  具有讽刺意味的是,Tigger/Syzor还试图帮助用户删除电脑中已存在的恶意软件(多达20种不同的恶意软件)。专家们认为,这么做的目的是让系统运行起来尽可能的正常。

  Tigger/Syzor锁定股票市场

  在研究这个相当聪明的木马时,我读到了华盛顿邮报上一篇由Brian Krebs撰写的文章The Tigger Trojan: Icky, Sticky Stuff ,立刻注意到了一点其它文章没有提到的问题。出于某种目的, Tigger/Syzor木马尤其偏爱那些证券公司的客户或者参与股票和期权交易的交易人员。Krebs提供一份简短的列表:

  “在Tigger非常短小的感染目标名单中,包括了E-Trade, ING Direct ShareBuilder, Vanguard, Options XPress, TD Ameritrade 以及 Scottrade等机构。”

  我的好奇心大起,于是打电话询问我的朋友,是否参与了以上某家机构的股票交易。答案是肯定的,作为交易员,他日常的工作就是与上述多家机构进行交易。因此我希望那些同样与上述机构有联系的读者赶紧检查一下自己的电脑。

  相对未知的木马

  Krebs 在文中提到, Ligh最初是在2008年11月发现Tigger/Syzor木马的。四个月后,我认为网上应该会有更多的有关这个木马的信息,但是事实相反。这有可能是因为反恶意软件行业对于这个木马的曝光程度不足有关。这也导致了我之前对这个木马不慎了解。我甚至觉得Tigger/Syzor 木马正在悄悄的展开自己的股市业务。

标签: 安全 代码 服务器 漏洞 权限 搜索 网络 域名

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:赛门铁克电子邮件主动归档确定为领导者象限

下一篇:手工三步查杀Javqhc木马最新变种