您的位置：極速下載站→ 資訊首頁 → 軟件教程 → 軟件資訊 → 卡巴斯基公布新型木馬"Trojan-Spy.Win32.KongHoo.am"

卡巴斯基公布新型木馬"Trojan-Spy.Win32.KongHoo.am"

時間：2013-04-01 07:53:42 作者：不思議游戲瀏覽量：42

事實上，木馬與計算機網(wǎng)絡(luò)中常常要用到的遠程控制軟件有些相似，但由于遠程控制軟件是“善意”的控制，因此通常不具有隱蔽性。木馬則完全相反，木馬要達到的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性的話，那就是“毫無價值”的。由于其具有很強的隱蔽性和危害性，木馬往往被用作各種用途，其最廣泛的應(yīng)用便是盜取用戶數(shù)據(jù)以及網(wǎng)銀財產(chǎn)。另外，還有一些專門針對某個聊天工具或者應(yīng)用程序而設(shè)計的專用木馬。木馬的藏身之地很多，它們可以藏在配置文件中，偽裝在普通文件中，或是在驅(qū)動程序中藏身等等。近日，卡巴斯基實驗室檢測到一種木馬，命名為：Trojan-Spy.Win32.KongHoo.am。

該木馬運行后會首先檢查系統(tǒng)中是否有avp.exe進程，如果沒有則將自身拷貝至C:Program FilesInternet Explorervbaddin.sys。之后木馬會從自身名為DATEINFO的資源中釋放一個DLL文件至C:Program FilesInternet Explorervbaddin.tdm，從名為DATEINF1的資源中釋放文件至C:Program FilesInternet Explorertray.cur，并將vbaddin.tdm注入到explorer.exe進程中，然后創(chuàng)建ShellExecuteHooks啟動項使得vbaddin.tdm每次啟動都會被explorer加載。最后木馬會創(chuàng)建名為_Ms.bat的bat文件將自身刪除。所釋放的vbaddin.tdm被卡巴斯基檢測為Trojan-Spy.Win32.KongHoo.ag，會從http://www.she*****pk.com/images/logo.gif下載配置文件，并根據(jù)此配置文件修改用戶hosts文件、劫持用戶瀏覽器、向用戶計算機中下載運行其它惡意程序。

木馬的危害可謂數(shù)不勝數(shù)，最需要我們防御的就是對個人數(shù)據(jù)和財產(chǎn)的盜取，像一些木馬專門盜取用戶的網(wǎng)游賬號，成功后，并立即將帳號中的游戲裝備轉(zhuǎn)移，然后其背后操控者可以通過出售這些盜取的游戲裝備和游戲幣而獲利。還有網(wǎng)銀木馬，可以采用鍵盤記錄等方式盜取網(wǎng)銀帳號和密碼，直接導(dǎo)致用戶的經(jīng)濟損失。還有的木馬可以開啟用戶的計算機后門，讓用戶在毫不知情的情況下操控用戶計算機，使其成為僵尸網(wǎng)絡(luò)構(gòu)建的有力工具。

目前，大多數(shù)安全解決方案已能對木馬進行查殺，但卡巴斯基實驗室還是要提醒廣大的用戶保持好對這些安全軟件的更新，不要讓木馬有機可乘。不要隨便訪問來歷不明的網(wǎng)站，使用來歷不明的軟件，很多盜版或破解軟件都攜帶木馬。此外，也不要輕信“好友”發(fā)來的信息中的鏈接，因為，很可能這些鏈接是不安全的。如今的木馬已經(jīng)能嫻熟地利用社交網(wǎng)絡(luò)來尋找入侵機會了。只要做好基本的防范措施，包括更新安全解決方案、給應(yīng)用程序裝補丁，簡單的一些操作就可以確保我們不受到木馬的危害。