该木马会感染系统文件,破坏用户的安全软件,收集用户信息,修改用户浏览器的主页,连接黑客远程计算机使用户电脑完全被黑客掌控。此外,黑客在外挂中捆绑的木马具有较高的隐蔽性,并且能够破坏部分杀毒软件的云查杀功能,当用户出现账号被盗情况之后,启动杀毒软件云查杀扫描,部分杀毒软件会出现连接失败等异常情况。
该木马是怎样隐藏?怎样内部瓦解玩家电脑的呢?让我们一起透视它的行径。
透视1:三重保险——进入玩家电脑
为了确保木马成功进入玩家电脑,黑客使用了三重保险来保证木马自启动成功:修改用户系统的MBR即用户硬盘的主引导区记录,确保优先注册系统启动;感染beep.sys系统文件
创建木马驱动服务:释放cp.exe(功能以mima1用户运行程序)和拷贝自己到C:\Temp目录,创建mima1(Administrators权限)的用户。利用cp.exe Administrators权限断开用户网络和安装木马的驱动程序。
通过 IpConfig /Release 命令断网避免安全软件的云查,断网后安全木马驱动模块。
透视二:注入木马主体——散布“害虫”内部瓦解
通过驱动程序来监视系统中部分进程的创建过程,并把safemon.dll(病毒释放的主模块)注入到所创建的进程中。以达到从内核全速瓦解玩家电脑的目的。过程如下:
① 释放C:\\Windows\\System32\\safemon.dll(病毒主体文件).
② 注册系统创建进程通知函数 PsSetCreateProcessNotifyRoutine,过滤部分进程的创建行为,对①中释放的safemon.dll进行注入。
透视三:屏蔽安全软件云查杀——幽禁用户安全部队
该木马一手在玩家电脑内核翻云覆雨,一手又想在电脑网络只手遮天。它屏蔽了一些安全软件的云查杀IP地址,使得安全软件部分功能失效,无法进行云查杀或更新。
透视四:禁止用户浏览安全厂商网址——切断救援
除了软化安全软件对自身的威胁,木马还防止用户自己去查询和求救。其主体safemon.dll 会修改用户浏览器主页,过滤部分安全软件厂商的网址,来禁止用户查询相关信息。让用户仿佛在一座孤岛上,绝望沦为“鱼肉”。
透视五:完美驱动级隐藏——立足长远包藏祸心
为了持久地破坏用户电脑,成功远程控制,该木马还费尽心思,改头换面,释放并安装NtHook.sys驱动程序,主要是HOOK内核中文件与注册表操作函数以达到隐藏自己的目的。恣意来日方长的远程连接木马作者计算机,使用户计算机成为“肉机”。
可见虽然杀毒软件厂商已经进入到了云安全时代,但是我们可以想象云安全一旦没有了网络环境,将受到致命的打击,这是所有病毒的突破口,应为只要没有了网络,云安全的杀毒软件等于没有。现在虽然我们讲云安全,但究竟安全在了哪里?安全了谁?
如果说通过这种方法来抵抗外挂,更是无稽之谈,难道只有外挂里有木马?抵御木马的方式就仅仅是不用外挂?
那岂不是太简单了?我不用外挂,就没毒了?
我只能说一句,这是什么逻辑?
那么网站挂马怎么说?各大高校的网站被挂马,是用户用外挂产生的?杀毒软件自己没有做好自己的本分的事情,却告诫用户要怎么怎么,到底是用户的电脑还是杀毒软件的电脑?陈然,用外挂是不对,但用户要什么和杀毒软件厂商有什么关系?
我不齿那些没用的杀毒软件,将不是病毒的外挂当做外挂处理。
不齿那些垃圾的杀毒软件,通过使用病毒的方法恐吓用户来决定用户的日常生活。
不齿那些垃圾的杀毒软件,扭曲、片面的看待一个病毒,将所有的责任归根于用户,杀毒软件厂商才是真正应该反思!
喜欢 
顶
难过
囧
围观
无聊
