【文章摘要】“狼人杀”病毒平时作为后门潜伏于用户电脑上,病毒作者在“晚上”(合适时机)在云端按需按时下发指令,就能完全掌控用户机器。腾讯电脑管家率先发现并查杀该病毒。
日前,腾讯电脑管家威胁态势感知系统发现,近期有大量用户机器上潜伏着一款非常隐蔽的后门病毒,不仅绕过国内绝大部分安全软件的检测,而且多数安全软件都无法对其进行查杀修复。该病毒系腾讯电脑管家首先发现,因其在“晚上”(合适时机)会开始运行并在下一个“白天”继续潜伏,被腾讯安全技术人员命名为“狼人杀”。目前,腾讯电脑管家已率先实现对该类后门病毒的查杀,用户可使用查杀功能和急救箱对电脑进行修复。
(通过逆向分析发现“狼人杀”作者内部代号为peerkiller)
经腾讯电脑管家安全技术人员分析发现,“狼人杀”病毒能作为后门潜伏于用户电脑上,并伪装成系统文件隐藏自身,致使用户难以感知,进而通过云下载各种作恶插件。不仅如此,一旦用户电脑中招,该病毒的作者只需在云端按需按时下发指令,就能完全掌控用户机器,最终窃取用户的隐私文件、游戏和银行账号密码等个人数据。目前,该病毒已影响数十万台电脑。
(腾讯电脑管家查杀修复图)
(腾讯电脑管家急救箱修复图)
挑选最有价值“肉鸡” 逃避安全软件检测
腾讯电脑管家安全技术人员指出,“狼人杀”病毒运行后,会率先检测用户电脑当前运行环境,包括是否安装安全软件,以及是否为网吧机器、虚拟机和安全分析人员机器等。
(检测杀软环境)
(检测是否为安全分析人员机器或网吧机器)
(检测是否为安全分析人员机器)
(检测是否为虚拟机环境)
随后,病毒的作者会将检测结果上传到C&C服务器,试图避开价值不大且易曝光的机器,从而将被发现的几率降至最低,并针对有价值的“肉鸡”派发作恶插件。而为了进一步躲避安全软件检测,“狼人杀”病毒会劫持本地Fsd(文件系统驱动程序),通过欺骗文件系统来隐藏、保护自身。此外,该病毒的驱动启动时间设置得非常早,启动后还会将其启动路径修改为随机路径,然后随机找一个系统驱动文件拷贝到该路径(drivers\随机路径.sys),并且还会通过注册cmpcallback回调保护services下注册表项,达到干扰安全软件检测的目的。
(病毒启动后修改自身的启动路径为随机路径)
(干扰安全软件检测)
与C&C通信 加载C&C派发的功能插件
腾讯电脑管家安全技术人员进一步指出,“狼人杀”病毒运行后会进行网络测试,只要任何一个域名端口测通后测试就会停止,并通过该端口会连接到服务器。值得注意的是,该病毒内置多个C&C及备用地址,一旦成功连接到服务器会将机器信息,包括之前获取到的运行环境等上传,随后接收指令,通过网络下载C&C派发的主要功能插件。
事实上,“狼人杀”病毒主要功能都是通过C&C派发的各种插件来实现,并且能随时下载各种功能插件到本地执行,完成各种复杂功能。更为严重的是,插件下载地址、是否热启动热升级、文件类型、运行平台、宿主进程、运行权限等全部恶意行为都能进行配置。一旦完成这些行为,用户电脑将被全面攻陷,沦为“肉鸡”。
(反向链接云服务提供商)
在云安全时代,病毒活动日趋隐蔽,如何挖掘出潜伏在用户机器上的病毒,是一个棘手的问题。目前,腾讯电脑管家持续不断升级安全技术,对于潜伏病毒可进行及时、精准的查杀清理。近日,腾讯电脑管家发布了12.1版本,该版本基于新一代威胁态势感知系统,依托全网安全大数据和后台智能分析挖掘,能在第一时间感知到用户电脑的安全威胁,并通过云主防和Bootclean清除技术、Rootkit通杀、系统急救箱三大利剑进行实时拦截和查杀,为用户电脑安全保驾护航。此外,针对“狼人杀”病毒,腾讯电脑管家还推出了专门修复的支线版本(https://dwz.cn/4Q7ewM),广大网友可通过链接进行下载。
【关键词】腾讯电脑管家 狼人杀 后门病毒 云端 威胁态势感知