【文章摘要】近日,哈勃分析系统监测到一批新爆发的远控木马"假面鬼",伪装成官方文件悄无声息入侵电脑,哈勃分析系统和腾讯电脑管家均能识别和查杀此类木马。
近日,腾讯安全联合实验室旗下反病毒实验室所研发的哈勃分析系统监测到一批新爆发的远控木马"假面鬼"。不法分子将木马伪装成知名下载软件组件,并在替换官方安装包中对应的原版文件后重新打包,通过色情网站和小型下载站进行传播。"假面鬼"木马运行后会在用户电脑进行恶意软件执行,严重威胁用户的信息和财产安全。目前,哈勃分析系统和腾讯电脑管家均能识别和查杀此类木马。
(哈勃文件系统提醒用户)
经哈勃分析系统分析,该木马会潜伏在用户的电脑中,与木马作者服务器进行后台通信,接受后台指令并从作者服务器下载恶意软件执行。木马第一次启动时会复制到系统路径下并创建服务,当计算机重启之后,木马会随服务自动启动,并执行真正的恶意代码。其恶意行为包括向服务器上传系统关键信息,接收服务器远程指令,下载并执行服务器指定的任意文件等。
此外,通过比对木马程序和官方安装包中对应的文件属性发现,该木马程序与官网程序的大小不同,并且没有数字签名,除此之外图标和文件的版权信息基本一致。对于普通用户来说,区分木马程序和真正的原版程序比较困难。
(左图为木马文件,右图为官网文件)
哈勃分析系统建议,不要下载安全不明来源的软件,尽量从官网下载或者使用腾讯电脑管家的软件管理功能来安装软件。如果遇到来历不明的文件,建议用腾讯电脑管家进行扫描和查杀,也可以将样本上传到哈勃分析系统,查看文件的具体动态行为。
【关键词】哈勃分析系统 电脑管家 假面鬼 官方文件 木马