如今,越來越多的電腦族都很重視日常護眼,選擇使用護眼類軟體來減輕長時間上網對眼睛造成的負擔。然而,不法分子從中嗅到「商機」,借助該類軟體後門程式乘虛而入,給使用者造成不必要的經濟損失和麻煩。
近日,騰訊智慧型安全御見威脅情報中心監測發現一款名為「護眼小秘書」的軟體攜帶後門程式,表面上看起來是乙個可調整螢幕亮度、對比度的小工具,操作中也能夠「正常」解除安裝,但實際上「護眼小秘書」私自攜帶後門程式,在安裝過程中會釋放「秘眼」後門驅動,同時該軟體難以徹底清除,有如「狗皮膏藥」般賴在使用者電腦中,威脅使用者的資訊保安。
(圖:護眼小秘書執行介面)
據騰訊御見威脅情報中心監控資料顯示,「護眼小秘書」木馬在 2017 年開始出現,在 2017 年 10 月達到傳播高峰,www.cppcns.com而近期又開始活躍,影響網民已經超過 3 萬人。該木馬在全國各地均有分布,廣東、山東、河南中毒電腦位居前三。目前,騰訊電腦管家已對其進行全面查殺程式設計客棧,並提醒相關使用者做好電腦體檢,及時清理此類挾帶「私貨」的木馬。
(圖:護眼小秘書影響區域)
據騰訊安全技術專家介紹,「護眼小秘書」木馬安裝包執行後會在安裝目錄下釋放木馬驅動drksec.sys, 該驅動載入執行後會解密dll並注入系統程序,該dll執行後將會從c2 伺服器接收指令或**其他病毒木馬。雖然該木馬提供了解除安裝程式,執行解除安裝程式bqboukcu後整個安裝目錄也會被刪除,但是驅動木馬drksec.sys 並沒有被解除安裝刪除,並被設定為開機自啟動。與此同時,使用者電腦瀏覽器主頁也會被強制鎖定。
(圖:「護眼小秘書」木馬執行流程圖)
更具有迷惑性的是,「護眼小秘書」木馬後門驅動程式drksec.sys會拷貝正常系統檔案的相關資訊到自身模組,如將drmkaud.sys檔案資訊拷貝到自身模組上,使得使用者難以識別出木馬檔案。
此外,後門驅動程式有較強的自我保護能力也是該木馬難以徹底清除的原因。目前,使用者無法通過簡單刪除或修復登錄檔的方式清除木馬檔案,若其嘗試利用第三方工具手動刪除,會因為文程式設計客棧件重定向的原因,誤刪除正常系統檔案。
(圖:騰訊電腦管家攔截並查殺該病毒)
由於「護眼小秘書」木馬主要是通過**器推裝,並無正規的官方**提供**,騰訊電腦管家安全專家、騰訊安全反病毒實驗室負責人馬勁松對此提醒廣大使用者做好自身防範措施,建議從正規軟體官網**護眼類軟體,避免使用**站、**器等非正規**渠道;對於已經「中招」的使用者,可以使用騰訊電腦管家等主流防毒軟體進行查殺清理。
本文標題: 「護眼小秘書」暗藏後門程式 超3萬台電腦受感染
本文位址: /news/media/149190.html