网络安全之狡猾的木马

SnakeHu 2007-03-13

    一名经验丰富的恶意软件研究者Joe Stewart在开始研究SpamThru木马后才确信情况确实是他所观察到的这样。SpamThru木马是一款被设计可以从被感染的计算机发出垃圾邮件的恶意软件。这一使用了点对点技术以向被劫持的计算机发出指令的木马居然装备了其自身的反病毒扫描工具——这样的复杂程度甚至不亚于一些商业软件。
    这名在位于亚特兰大SecureWorks工作的高级安全研究员Stewart说:“这是我第一次看到这种情况,它的重要性在于其新的创意。它这样做的目的仅是为了将所有系统资源占为己有——如果系统中存在诸如大量发送邮件的病毒与之竞争,这将降低它可以发送的垃圾数量。”
    大多数病毒和木马已经可以通过在hosts文件中将反病毒软件升级站点设置为本地地址以阻止反病毒软件下载更新。意在夺取被感染系统控制权的恶意黑客也曾通过杀掉进程、移除注册表键值或设置互斥进程以使其他恶意软件以为它们已经在运行从而在启动后立刻退出等方式来移除与之竞争的恶意软件。
    但是,就像Stewart在他的分析中所发现的那样,SpamThru使这种竞赛达到了一个新的水平,它事实上使用了一个反病毒引擎以对付潜在的竞争者。
    Stewart说,在该木马启动时,它从作者的命令与控制服务器请求并装载一个DLL,随后这一DLL下载一份盗版的卡巴斯基反病毒软件到被感染系统的一个隐藏目录中。它可以为这一卡巴斯基DLL在内存中运行的许可证签名检查打上补丁以避免卡巴斯基由于无效或过期的许可证而拒绝运行。

相关推荐