您的位置：極速下載站→ 資訊首頁(yè) → 軟件教程 → 軟件資訊 → 卡巴斯基公布新型木馬"Trojan-Spy.Win32.KongHoo.am"

卡巴斯基公布新型木馬"Trojan-Spy.Win32.KongHoo.am"

時(shí)間：2013-04-01 07:53:42 作者：不思議游戲瀏覽量：42

事實(shí)上，木馬與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性。木馬則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒(méi)有很強(qiáng)的隱蔽性的話，那就是“毫無(wú)價(jià)值”的。由于其具有很強(qiáng)的隱蔽性和危害性，木馬往往被用作各種用途，其最廣泛的應(yīng)用便是盜取用戶數(shù)據(jù)以及網(wǎng)銀財(cái)產(chǎn)。另外，還有一些專門針對(duì)某個(gè)聊天工具或者應(yīng)用程序而設(shè)計(jì)的專用木馬。木馬的藏身之地很多，它們可以藏在配置文件中，偽裝在普通文件中，或是在驅(qū)動(dòng)程序中藏身等等。近日，卡巴斯基實(shí)驗(yàn)室檢測(cè)到一種木馬，命名為：Trojan-Spy.Win32.KongHoo.am。

該木馬運(yùn)行后會(huì)首先檢查系統(tǒng)中是否有avp.exe進(jìn)程，如果沒(méi)有則將自身拷貝至C:Program FilesInternet Explorervbaddin.sys。之后木馬會(huì)從自身名為DATEINFO的資源中釋放一個(gè)DLL文件至C:Program FilesInternet Explorervbaddin.tdm，從名為DATEINF1的資源中釋放文件至C:Program FilesInternet Explorertray.cur，并將vbaddin.tdm注入到explorer.exe進(jìn)程中，然后創(chuàng)建ShellExecuteHooks啟動(dòng)項(xiàng)使得vbaddin.tdm每次啟動(dòng)都會(huì)被explorer加載。最后木馬會(huì)創(chuàng)建名為_(kāi)Ms.bat的bat文件將自身刪除。所釋放的vbaddin.tdm被卡巴斯基檢測(cè)為Trojan-Spy.Win32.KongHoo.ag，會(huì)從http://www.she*****pk.com/images/logo.gif下載配置文件，并根據(jù)此配置文件修改用戶hosts文件、劫持用戶瀏覽器、向用戶計(jì)算機(jī)中下載運(yùn)行其它惡意程序。

木馬的危害可謂數(shù)不勝數(shù)，最需要我們防御的就是對(duì)個(gè)人數(shù)據(jù)和財(cái)產(chǎn)的盜取，像一些木馬專門盜取用戶的網(wǎng)游賬號(hào)，成功后，并立即將帳號(hào)中的游戲裝備轉(zhuǎn)移，然后其背后操控者可以通過(guò)出售這些盜取的游戲裝備和游戲幣而獲利。還有網(wǎng)銀木馬，可以采用鍵盤記錄等方式盜取網(wǎng)銀帳號(hào)和密碼，直接導(dǎo)致用戶的經(jīng)濟(jì)損失。還有的木馬可以開(kāi)啟用戶的計(jì)算機(jī)后門，讓用戶在毫不知情的情況下操控用戶計(jì)算機(jī)，使其成為僵尸網(wǎng)絡(luò)構(gòu)建的有力工具。

目前，大多數(shù)安全解決方案已能對(duì)木馬進(jìn)行查殺，但卡巴斯基實(shí)驗(yàn)室還是要提醒廣大的用戶保持好對(duì)這些安全軟件的更新，不要讓木馬有機(jī)可乘。不要隨便訪問(wèn)來(lái)歷不明的網(wǎng)站，使用來(lái)歷不明的軟件，很多盜版或破解軟件都攜帶木馬。此外，也不要輕信“好友”發(fā)來(lái)的信息中的鏈接，因?yàn)�，很可能這些鏈接是不安全的。如今的木馬已經(jīng)能嫻熟地利用社交網(wǎng)絡(luò)來(lái)尋找入侵機(jī)會(huì)了。只要做好基本的防范措施，包括更新安全解決方案、給應(yīng)用程序裝補(bǔ)丁，簡(jiǎn)單的一些操作就可以確保我們不受到木馬的危害。