日前,亚特兰大SecureWorks一名高级安全研究员JoeStewart发现了一种利用反病毒软件来掩护自己的新木马病毒,这种木马病毒在安装反病毒软件之后还会清除被感染PC上的其它恶意软件。
据了解,这种木马名为SpamThru,是一款被设计可以从被感染的计算机发出垃圾邮件的恶意软件,在被感染的PC上安装卡巴斯基实验室的AntiVirusforWinGate软件,这一盗版软件能够扫描系统上的恶意代码━━但能够漏过SpamThru自己的文件,然后在PC下次启动时删除发现的恶意代码。
JoeStewart表示:“这是我第一次看到这种情况,它的重要性在于其新的创意。它这样做的目的仅是为了将所有系统资源占为己有——如果系统中存在诸如大量发送邮件的病毒与之竞争,这将降低它可以发送的垃圾数量。”
据悉,一般病毒和木马是通过在hosts文件中将反病毒软件升级站点设置为本地地址,通常只是关闭反病毒软件或者阻止反病毒软件升级病毒特征库、清除具体的恶意代码。
SpamThru的出现,表明木马病毒技术又达到了一个新的水平。事实上SpamThru使用了一个反病毒引擎以对付潜在的竞争者,借此来掩护自己。在启动时,它会从作者的命令与控制服务器请求并装载一个DLL,在下载DLL文件十分钟后,它就会开始扫描系统。
JoeStewart表示,SpamThru还具有其它的先进技术,如使用自定义的P2P协议以与其他人共享信息,使用了一个巧妙的指令与控制结构以避免被关闭等等。 |