下载器木马
近日,知名信息安全厂商卡巴斯基发布病毒播报,提醒用户注意一款恶意程序名为Trojan.Win32.Agent.xsil的下载器木马。
据悉,此木马运行后会将自身拷贝为临时目录下,之后会挂钩输入法相关函数并向explorer.exe发送WM_INPUTLANGCHANGEREQUEST消息使得explorer.exe进程运行木马。之后木马会随机从AppMgmt、Netman、CryptSvc等服务中选择一个,并将自身修改为DLL格式替换原服务对应的DLL,而后将相应的服务设置为自动启动。这样当系统启动这些服务时就会启动木马。为防止用户进入安全模式,木马会删除安全模式相关注册表。木马还会将用户网卡的MAC地址发送到87.138.250.***/aa*/Count.asp?进行安装量统计。木马会从54.169.9.***、115.238.237.***、61.132.227.**等地址下载其它恶意程序。
卡巴斯基提醒广大用户及时更新反病毒产品的病毒库,并定期为系统打补丁,不打开可疑邮件和可疑网站,不随意接收聊天工具上传送的文件以及打开发过来的网站链接,使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描,不从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
聪明的手机病毒
随着安卓系统的普及,用户的手机正在变得越来越“聪明”。然而,手机的木马与病毒也随之不断进化,具备了更加强大的攻击能力。近日,趋势科技发现一种会“隐身”且“无法删除”的安卓木马“ANDROIDOS_OBAD”,一旦成功侵入用户系统,该木马就会在手机桌面和设备管理员管理画面上自动隐藏,极其不易清除。趋势科技提醒用户注意防范此类木马,如果不幸被感染,可以下载免费工具“Hidden Device Admin Detector app”,并结合趋势科技移动安全软件清除此木马。
趋势科技监测发现,“ANDROIDOS_OBAD”木马属于一个木马家族,可通过论坛、Wi-Fi以及蓝牙等方式传播,并攻击安卓系统漏洞。一旦攻击成功,木马将会自动尝试打开Wi-Fi连接,连接到黑客早已部署的远程服务器上,肆意窃取联系人、通话记录等用户信息,订购高额付费服务,并可能操控手机下载或是向其它手机散播恶意软件。
与大多数木马程序不同的是,“ANDROIDOS_OBAD”具备“隐形”以及“防止被移除”的功能,当该木马启动后,会被要求授予手机Root以及设备管理员等权限,用户若不同意,只要开启设备就会不停跳出要求用户同意的窗口;一旦取得手机的设备管理员权限,它就会在手机桌面和设备管理员管理画面上隐藏且无法被删除,在未解除管理员权限的情况之下,用户或是信息安全软件将无法清除该木马程序。
ANDROIDOS_OBAD木马程序一旦被安装,将会不停发送要求用户同意其取得设备管理员的信息
ANDROIDOS_OBAD木马程序一旦取得手机的设备管理员权限,可自行隐藏,使一般用户无法察觉,降低其遭删除的可能性
趋势科技(中国区)高级产品经理刘政平表示:“这类木马程序的主要目的仍是窃取信息以及牟利,不同于以往的是,此木马设计者采用直接取得手机最高权限的攻击方式,让用户无法立即查觉,黑客即可如入无人之境任意妄为。”
刘政平还指出,要想防范此类木马,用户需要养成良好的应用习惯,尽量不要在未知的第三方应用市场下载应用。对于那些已经感染木马的用户来说,可以安装趋势科技在Google Play上发布的免费工具“Hidden Device Admin Detector app”,以协助自己解除被占用的手机管理员权限。一旦完成解除操作,PC-cillin 2013及趋势科技移动安全软件将可协助用户清除此类木马。
网友评论