2010-11-10来源:金山安全中心
摘要:最近见到不少流氓软件作者对lnk文件使得那些小手段,对windows不是很熟悉的在下不由感慨人的智慧是无穷的。看上去像360安全卫士一样清纯,但是骨子里却暗藏广告木马
关键词:伪360,安全,广告,木马,暗藏广告
最近见到不少流氓软件作者对lnk文件使得那些小手段,对windows不是很熟悉的在下不由感慨人的智慧是无穷的。
1 看上去像360安全卫士一样清纯,但是骨子里却暗藏广告木马
在安全厂商的不遗余力的打击下,现在出来混的病毒不乔装打扮一番已经很难逃过安全软件的火眼金睛。这次发现的新型广告木马仅仅创建了一个名为360安全卫 士的1Kb快捷方式不仅欺骗了用户善良的眼睛,也成功绕过了安全软件查杀。
简单看了下这个名为360安全卫士的1Kb的快捷方式内有乾坤(不太懂windows的LNK文件格式)
(1)这个快捷方式很特别,我们右键查看快捷方式属性无法看出这个快捷 方式将要运行什么,而正常的快捷方式都会指向一个文件(比如QQ.exe);因此会导致安全软件无法找到相应的目标文件进行查杀。(2)这个快捷方式不可思议,双击这个看上去已经损坏快捷方式可以运行恶意程序。这个快捷方式实际上已经成了木马加载器,黑客可以通过构造特殊的快捷方式达到很隐秘的启动木马程序 的目的,我们也发现目前很多安全软件不能检测这种新的木马隐蔽启动项,基本步骤如下:
a:释放构造的lnk文件到开机启动文件夹
b:开机以后自动运行畸形快捷方式
c:因为windows的一些特性会自动执行CLSID项目(这个可以自定义)指向的木马程序
友情提醒: 遇到不能清除的病毒木马,尝试下其它安全产品有惊喜,什么数字娱乐都是浮云,百度搜索金山急救箱
2 当流氓软件进入云时代,黑客通过云指令控制我们的电脑(貌似行为有点类似于某号称安全的浏览器)
执行恶意的360安全卫士.lnk以后会在后台偷偷运行一个名为scvhot.exe的广告木马,这个广告木马会枚举当前窗口并且匹配是否是浏览器窗口, 发现是浏览器以后就监控地址栏的输入(比如IE,Maxthon,世界之窗,腾讯TT,谷歌Chrome,360安全浏览器等)同时连接服务器通过匹配浏 览器的输入行为,比如当你访问taobao.com的时候广 告木马会自动将其转移到s8.taobao.com。利用这种云控制技术,黑客可以精确的控制你的浏览器,只要黑客想就可以将你的引 导到任意的网站,比如钓鱼网站,挂马网站,不良网站等。
友情提醒:开启 实时监控是硬道理,比如我的杀毒会提示scvhot.exe是病毒程序Win32.Malware.Heur_Generic.A已 经清除
3 木马作者很了解我们,却欺骗我们下载恶意软件
或许这个世界上木马作者最了解我们想要什么,他们分析我们的行为,做百度搜索优化,想尽千方百计的引导我们找到他们,但是他们却仅仅是为了欺骗我们下载它 们的恶意软件。有一天我只想要一个QQ2010去广告补丁软件,千辛万苦找到了一个提供下载的网站,激动的等待下载完成,但是金山卫士网盾功能却提示却告 诉我:您的辛苦只是一场梦,这货是病毒.
金山卫士查杀木马能力更强、检测漏洞更快、体积更小巧的免费安全软件。它独家采用双引擎技术,云引擎能查杀上亿已知木马,独有的本地V10引擎可全面清除感染型木马;漏洞检测针对windows7优化,速度比同类软件快10倍;更有实时保护、软件管理、插件清理、修复IE、启动项管理等功能,全面保护您的系统安全。点击下载金山卫士>>