日前,腾讯反病毒实验室截获了一个名为“电子票潜伏者”的抓鸡木马,该木马主要通过邮箱附件发送航空电子票的方式大规模传播,以doc文件图像诱导购票用户进行下载。木马植入后,染毒电脑会暴露在国外黑客控制下成为僵尸网络的一部份。目前腾讯电脑管家已能够对该木马所有变种进行独家抢杀。
(腾讯电脑管家拦截“电子票潜伏者”)
据腾讯反病毒实验室监测数据,从2014年8月28日到9月10日,平均日传播用户量上万,IP地址分析显示传播源的钓鱼邮件来自世界各地,其中美国占大部分,而后门的服务器主要来自印度尼西亚、法国和塞浦路斯。
(木马源邮件IP地址分布)
腾讯安全专家分析指出,黑客通过分组分类实现对大量受“电子票潜伏者”植入电脑的自动化管理,维护僵尸网络。木马通过两次“换身脱壳”最终创建svchost.exe傀儡进程。值得注意的是,“电子票潜伏者”木马值入受体电脑后并不会大张旗鼓地下载有毒程序,而是通过访问远程服务请求指令。指令包括下载新模块指令、更新程序指令、自毁指令(清除痕迹自卸载)等,且具有反虚拟机和抓包工具的行为。其感染程序与“食猫鼠“木马类似。
(病毒运行流程)
腾讯反病毒实验室提醒广大用户,收到国外发来的邮件时务必多加小心,如果没有条件核查邮件来源的IP地址,在上网时保持安全管理软件的开启也可有效拦截查杀此类病毒。此外网上购票要选择正规购票网站,不要轻易点击来源不明的航空票邮件,谨防木马趁机而入。