CF盜號木馬“三尸蠱病毒”如何防護

近期一款名為“CF三尸蠱”的CF盜號木馬四處蔓延。這是一款帶驅(qū)動的MBR型木馬，屬于遠控木馬，隱藏性高、內(nèi)部瓦解、持久性強。黑客通過CF游戲外掛捆綁此木馬病毒進行盜號，CF游戲玩家需要提高警惕。

該木馬會感染系統(tǒng)文件，破壞用戶的安全軟件，收集用戶信息，修改用戶瀏覽器的主頁，連接黑客遠程計算機使用戶電腦完全被黑客掌控。此外，黑客在外掛中捆綁的木馬具有較高的隱蔽性，并且能夠破壞部分殺毒軟件的云查殺功能，當(dāng)用戶出現(xiàn)賬號被盜情況之后，啟動殺毒軟件云查殺掃描，部分殺毒軟件會出現(xiàn)連接失敗等異常情況。

該木馬是怎樣隱藏？怎樣內(nèi)部瓦解玩家電腦的呢？讓我們一起透視它的行徑。

透視1：三重保險——進入玩家電腦

為了確保木馬成功進入玩家電腦，黑客使用了三重保險來保證木馬自啟動成功：修改用戶系統(tǒng)的MBR即用戶硬盤的主引導(dǎo)區(qū)記錄，確保優(yōu)先注冊系統(tǒng)啟動；感染beep.sys系統(tǒng)文件

創(chuàng)建木馬驅(qū)動服務(wù)：釋放cp.exe(功能以mima1用戶運行程序)和拷貝自己到C:\Temp目錄,創(chuàng)建mima1(Administrators權(quán)限)的用戶。利用cp.exe Administrators權(quán)限斷開用戶網(wǎng)絡(luò)和安裝木馬的驅(qū)動程序。

通過 IpConfig /Release 命令斷網(wǎng)避免安全軟件的云查，斷網(wǎng)后安全木馬驅(qū)動模塊。

透視二：注入木馬主體——散布“害蟲”內(nèi)部瓦解

通過驅(qū)動程序來監(jiān)視系統(tǒng)中部分進程的創(chuàng)建過程，并把safemon.dll(病毒釋放的主模塊)注入到所創(chuàng)建的進程中。以達到從內(nèi)核全速瓦解玩家電腦的目的。過程如下：

① 釋放C:\\Windows\\System32\\safemon.dll(病毒主體文件).

② 注冊系統(tǒng)創(chuàng)建進程通知函數(shù) PsSetCreateProcessNotifyRoutine，過濾部分進程的創(chuàng)建行為，對①中釋放的safemon.dll進行注入。

透視三：屏蔽安全軟件云查殺——幽禁用戶安全部隊

該木馬一手在玩家電腦內(nèi)核翻云覆雨，一手又想在電腦網(wǎng)絡(luò)只手遮天。它屏蔽了一些安全軟件的云查殺IP地址，使得安全軟件部分功能失效，無法進行云查殺或更新。

透視四：禁止用戶瀏覽安全廠商網(wǎng)址——切斷救援

除了軟化安全軟件對自身的威脅，木馬還防止用戶自己去查詢和求救。其主體safemon.dll 會修改用戶瀏覽器主頁，過濾部分安全軟件廠商的網(wǎng)址，來禁止用戶查詢相關(guān)信息。讓用戶仿佛在一座孤島上，絕望淪為“魚肉”。

透視五：完美驅(qū)動級隱藏——立足長遠包藏禍心

為了持久地破壞用戶電腦，成功遠程控制，該木馬還費盡心思，改頭換面，釋放并安裝NtHook.sys驅(qū)動程序，主要是HOOK內(nèi)核中文件與注冊表操作函數(shù)以達到隱藏自己的目的。恣意來日方長的遠程連接木馬作者計算機，使用戶計算機成為“肉機”。


可見雖然殺毒軟件廠商已經(jīng)進入到了云安全時代，但是我們可以想象云安全一旦沒有了網(wǎng)絡(luò)環(huán)境，將受到致命的打擊，這是所有病毒的突破口，應(yīng)為只要沒有了網(wǎng)絡(luò)，云安全的殺毒軟件等于沒有�，F(xiàn)在雖然我們講云安全，但究竟安全在了哪里？安全了誰？

如果說通過這種方法來抵抗外掛，更是無稽之談，難道只有外掛里有木馬？抵御木馬的方式就僅僅是不用外掛？

那豈不是太簡單了？我不用外掛，就沒毒了？

我只能說一句，這是什么邏輯？

那么網(wǎng)站掛馬怎么說？各大高校的網(wǎng)站被掛馬，是用戶用外掛產(chǎn)生的？殺毒軟件自己沒有做好自己的本分的事情，卻告誡用戶要怎么怎么，到底是用戶的電腦還是殺毒軟件的電腦？陳然，用外掛是不對，但用戶要什么和殺毒軟件廠商有什么關(guān)系？

我不齒那些沒用的殺毒軟件，將不是病毒的外掛當(dāng)做外掛處理。

不齒那些垃圾的殺毒軟件，通過使用病毒的方法恐嚇用戶來決定用戶的日常生活。

不齒那些垃圾的殺毒軟件，扭曲、片面的看待一個病毒，將所有的責(zé)任歸根于用戶，殺毒軟件廠商才是真正應(yīng)該反思！