本篇文章977字,读完约2分钟
现在,更多的计算机族重视日常的眼睛保护,为了减轻长期上网对眼睛的负担,选择采用眼睛保护软件。 但是不法分子从中嗅到商机,利用这种软件后门程序虚入,给客户带来了不必要的经济损失和麻烦。
最近,在腾讯智能安全御见威胁信息中心的监视中,发现一个叫保护眼小秘书的软件携带后门程序。 表面上是可以调整画面亮度、对应度的小工具,操作中也可以正常卸载,但实际上,如果保护眼小秘书携带后门程序,安装中就很难释放秘密后门的驱动,完全删除该软件。
(图:护眼小秘书运行接口)
根据腾讯御见威胁情报中心的监视数据,护眼小秘书特洛伊木马于年开始出现,年10月达到了发布高峰,但最近变得活跃,影响读者的超过了3万人。 这匹木马分布在全国各地,广东、山东、河南中毒电脑名列前三。 现在腾讯电脑管家已经全面调查杀死,提醒相关客户做电脑体检,及时清理持有这种走私品的特洛伊木马。
(図:保护眼小秘书影响区域)
腾讯安全技术人员表示,当保护眼小秘书特洛伊木马安装包运行时,特洛伊木马驱动drksec.sys将在安装目录下释放。 执行此驱动加载后,dll将被解密并注入系统进程。 这个dll运行后,从c2服务接收命令,或者下载其他病毒的特洛伊木马。 特洛伊木马提供卸载程序,卸载程序将删除整个安装目录,但驱动程序特洛伊木马drksec.sys将被删除而不卸载,并设置为在启动时启动。 此外,客户端计算机的浏览器主页也被强制锁定。
(图:护眼小秘书特洛伊木马执行流程图)
更令人困惑的是,保护眼睛的秘书木马后门驱动程序drksec.sys将DRMKAUUUUUUUD.SYS文件的新闻复制到自己的模块中,将正常系统文件的相关情况复制到自己的模块中,
另外,后门司机有很强的自我保护能力,所以也有难以完全清除特洛伊木马的理由。 现在,客户无法通过简单的删除或修复注册表的方式清除特洛伊木马文件。 如果尝试使用第三方工具手动删除,则由于文件重定向,通常的系统文件会被意外删除。
(图:腾讯电脑管家拦截和清除病毒)
保护眼小秘书特洛伊木马主要由下载程序推送,因此正规的官网不提供下载。 腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马强松对此表示,要注意广大客户自己的预防措施,从正规软件官网下载保护眼睛类软件,下载站, 对于已经招募的客户,可以使用腾讯电脑管家等主流的杀毒软件进行清除整理。
标题:【科讯】腾讯电脑管家:“护眼小秘书”暗藏大心机 利用后门程序劫持客户浏
地址:http://www.miutrip.net.cn/news/3394.html