有一种木马无比狡猾,粗看它没有任何问题,是一个人畜无害的乖宝宝,可当它接收到暗藏在图片中的恶意指令后,它就会变成长着角的恶魔。当前,这种图片间谍木马在网上兴风作浪,腾讯电脑管家是唯一可以识破木马真面目的安全软件。
木马骗不了腾讯电脑管家
“这是今年第 47 次出任务!”穿着黑色风衣的木马展开纸条,“任务:潜入腾讯电脑管家把守的 XX 电脑,弹出广告骚扰用户!”看完纸条后木马掏出打火机,熟练地烧掉了纸条,消失在冬天寒冷的夜空下……
它不是一般的木马,从其 100% 任务成功率可以看出它身负“绝技”,能逃过各大安全软件的搜查。在被腾讯电脑管家拦下后,木马从容地接受搜查,一点没有慌乱。是的,这样的场面以前上演了 46 次,都能顺利的通过,“这次,也不例外!”木马自信满满的暗道。
然而,腾讯电脑管家的安检结果显示它是不怀好意的入侵者,是赤裸裸的间谍。木马立即抗议:“我有‘北京富邦展瑞科技有限公司’颁发的数字签名,我是一等一的良民,没干过任何坏事!”“我们早就注意到你了,凡是你进入过的电脑都会无缘无故地弹出广告,还说意思说自己是良民?”腾讯安全工程师押着木马边走边痛斥着它的罪行!
腾讯电脑管家是唯一能查杀图片间谍木马的安全软件
特殊图片包藏恶意指令
在审讯室里,木马依然嚣张:“你们要我坦白什么!我是无辜的!我什么都没有干!电脑弹出广告关我什么事?没有证据就乱抓人,我要去告你们!”面对不见棺材不掉泪的木马,腾讯安全工程师默默地开启投影仪,回放木马以前作案的全过程:
木马浑水摸鱼进入用户电脑后,首先从 http://update.51topsoft.com/wow-zk.bmp 处下载图片 wow.bmp 到用户的临时目录 %Temp% 下,该图片的尾部含有经过加密的 shellcode 代码和 PE 文件,接着将 %Temp%\wow.bmp 载入内存中,通过 Xor 0x4C 对加密数据进行解密,然后再通过 Call 指令跳转到图片相对偏移 0x2F0 处并执行 Shellcode 代码, ShellCode 代码会将文件中的 PE Loader 和 DLL 的数据进行解密,最后通过 URLDownloadToCacheFileA 下载加密的配置文件,解密后获得黑客的指令,根据指令访问网站刷流量、弹出广告。
木马作恶流程图
此时,木马已经面如灰色,但依然不开口,腾讯安全工程师继续道:“其实,你本身问题并不大,迷惑了不少同行,关键在于那张图片。从外表看,图片看一切正常,可里面却包藏了恶意指令,只有你自己可以读取。你的行为跟 2006 年的一起间谍案有异曲同工之妙,此前英国驻俄外交官在莫斯科从事间谍活动,他们用于收发秘密情报的工具,竟是一块看似普通的石头,但石头中间被挖空了,里面装有蓄电池和加密情报收发机。”
“别说了,我招,我全招!”
读取指令后木马会删除图片抹去痕迹
腾讯电脑管家支招
通过上述案例,相信大家已经认真了木马的真面目,如何预防此类木马呢?目前,仅有腾讯电脑管家关注到有木马利用图片接受恶意指令作恶,因此腾讯电脑管家是唯一可以查收此类木马的安全软件,只要大家保证腾讯电脑管家正常运行就可以高枕勿忧。
关于腾讯电脑管家
腾讯电脑管家是腾讯旗下桌面安全团队研发的一款网络安全软件,除具备有全功能的反病毒能力之外,还具有常规的安全辅助功能。腾讯电脑管家是中国领先的互联网安全软件,保护 QQ 账号技术首屈一指,赢得 7 亿 QQ 用户的青睐,且在 2012 年 11 月,腾讯电脑管家第三次以 100% 通过率连获 VB100 认证,成为国内安全软件的翘楚。