最近AutoIt木马家族进入爆发季节。这类木马的共同特点是利用AutoIt解释器执行,由于解释器本身并非恶意程序,也有正规有效的数字签名,真正含有恶意代码的脚本文件却躲在解释器后面,不以独立进程的形式出现在系统中,从而绕过绝大多数杀毒软件。目前国内只有360杀毒和安全卫士独家拦截查杀AutoIt木马家族。
图1:木马中隐藏的神秘帅哥照片
安全技术人员指出,此木马比较奇葩的是暗藏了一枚不明身份的帅哥照片。目前,通过各大搜索引擎识图功能都无法找到照片的出处,但木马运行时,又完全不调用此照片数据,只有专业分析人士才能看到这个“彩蛋”。
360安全工程师表示,这个木马脚本中包含3300行代码,但是仅有最后的400行是真正的病毒代码,而通过这部分代码,帮助攻击者实现:检查自身运行环境;创建开机自启动;感染全部磁盘;驻留内存并与服务器通信实现远程控制。通俗的说,如果电脑遭遇此木马入侵,全盘都会受到感染,电脑被黑客远程控制!
360云安全主动防御基于程序行为判断,能够全面拦截AutoIt木马家族,也是国内唯一具备对AutoIt系列木马防护能力的安全软件。
图2:360安全软件对AutoIt木马进行拦截