事实上,木马与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性。木马则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。由于其具有很强的隐蔽性和危害性,木马往往被用作各种用途,其最广泛的应用便是盗取用户数据以及网银财产。另外,还有一些专门针对某个聊天工具或者应用程序而设计的专用木马。木马的藏身之地很多,它们可以藏在配置文件中,伪装在普通文件中,或是在驱动程序中藏身等等。近日,卡巴斯基实验室检测到一种木马,命名为:Trojan-Spy.Win32.KongHoo.am。
该木马运行后会首先检查系统中是否有avp.exe进程,如果没有则将自身拷贝至C:Program FilesInternet Explorervbaddin.sys。之后木马会从自身名为DATEINFO的资源中释放一个DLL文件至C:Program FilesInternet Explorervbaddin.tdm,从名为DATEINF1的资源中释放文件至C:Program FilesInternet Explorertray.cur,并将vbaddin.tdm注入到explorer.exe进程中,然后创建ShellExecuteHooks启动项使得vbaddin.tdm每次启动都会被explorer加载。最后木马会创建名为_Ms.bat的bat文件将自身删除。所释放的vbaddin.tdm被卡巴斯基检测为Trojan-Spy.Win32.KongHoo.ag,会从http://www.she*****pk.com/images/logo.gif下载配置文件,并根据此配置文件修改用户hosts文件、劫持用户浏览器、向用户计算机中下载运行其它恶意程序。
木马的危害可谓数不胜数,最需要我们防御的就是对个人数据和财产的盗取,像一些木马专门盗取用户的网游账号,成功后,并立即将帐号中的游戏装备转移,然后其背后操控者可以通过出售这些盗取的游戏装备和游戏币而获利。还有网银木马,可以采用键盘记录等方式盗取网银帐号和密码,直接导致用户的经济损失。还有的木马可以开启用户的计算机后门,让用户在毫不知情的情况下操控用户计算机,使其成为僵尸网络构建的有力工具。
目前,大多数安全解决方案已能对木马进行查杀,但卡巴斯基实验室还是要提醒广大的用户保持好对这些安全软件的更新,不要让木马有机可乘。不要随便访问来历不明的网站,使用来历不明的软件,很多盗版或破解软件都携带木马。此外,也不要轻信“好友”发来的信息中的链接,因为,很可能这些链接是不安全的。如今的木马已经能娴熟地利用社交网络来寻找入侵机会了。只要做好基本的防范措施,包括更新安全解决方案、给应用程序装补丁,简单的一些操作就可以确保我们不受到木马的危害。