“护眼小秘书”暗藏后门程序 超3万台电脑受感染

2018-09-27 来源:原创 作者:腾讯电脑管家
【文章摘要】近日,腾讯智慧安全御见威胁情报中心监测发现一款名为“护眼小秘书”的软件携带后门程序,表面上看起来是一个可调整屏幕亮度、对比度的小工具,操作中也能够“正常”卸载,但实际上“护眼小秘书”私自携带后门程序,在安装过程中会释放“秘眼”后门驱动,同时该软件难以彻底清除,有如“狗皮膏药”般赖在用户电脑中,威胁用户的信息安全。

如今,越来越多的电脑族都很重视日常护眼,选择使用护眼类软件来减轻长时间上网对眼睛造成的负担。然而,不法分子从中嗅到“商机”,借助该类软件后门程序乘虚而入,给用户造成不必要的经济损失和麻烦。

近日,腾讯智慧安全御见威胁情报中心监测发现一款名为“护眼小秘书”的软件携带后门程序,表面上看起来是一个可调整屏幕亮度、对比度的小工具,操作中也能够“正常”卸载,但实际上“护眼小秘书”私自携带后门程序,在安装过程中会释放“秘眼”后门驱动,同时该软件难以彻底清除,有如“狗皮膏药”般赖在用户电脑中,威胁用户的信息安全。

(图:护眼小秘书运行界面)

据腾讯御见威胁情报中心监控数据显示,“护眼小秘书”木马在2017年开始出现,在2017年10月达到传播高峰,而近期又开始活跃,影响网民已经超过3万人。该木马在全国各地均有分布,广东、山东、河南中毒电脑位居前三。目前,腾讯电脑管家已对其进行全面查杀,并提醒相关用户做好电脑体检,及时清理此类挟带“私货”的木马。

(图:护眼小秘书影响区域)

据腾讯安全技术专家介绍,“护眼小秘书”木马安装包运行后会在安装目录下释放木马驱动drksec.sys, 该驱动加载运行后会解密dll并注入系统进程,该dll运行后将会从C2服务器接收指令或下载其他病毒木马。虽然该木马提供了卸载程序,运行卸载程序后整个安装目录也会被删除,但是驱动木马drksec.sys 并没有被卸载删除,并被设置为开机自启动。与此同时,用户电脑浏览器主页也会被强制锁定。

(图:“护眼小秘书”木马执行流程图)

更具有迷惑性的是,“护眼小秘书”木马后门驱动程序drksec.sys会拷贝正常系统文件的相关信息到自身模块,如将drmkaud.sys文件信息拷贝到自身模块上,使得用户难以识别出木马文件。

此外,后门驱动程序有较强的自我保护能力也是该木马难以彻底清除的原因。目前,用户无法通过简单删除或修复注册表的方式清除木马文件,若其尝试利用第三方工具手动删除,会因为文件重定向的原因,误删除正常系统文件。

(图:腾讯电脑管家拦截并查杀该病毒)

由于“护眼小秘书”木马主要是通过下载器推装,并无正规的官方网站提供下载,腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松对此提醒广大用户做好自身防范措施,建议从正规软件官网下载护眼类软件,避免使用下载站、下载器等非正规网站渠道;对于已经“中招”的用户,可以使用腾讯电脑管家等主流杀毒软件进行查杀清理。


电脑管家 V16

全新上线 更轻更快