【科讯】腾讯电脑管家：“护眼小秘书”暗藏大心机 利用后门程序劫持客户浏

本篇文章977字，读完约2分钟

现在，更多的计算机族重视日常的眼睛保护，为了减轻长期上网对眼睛的负担，选择采用眼睛保护软件。 但是不法分子从中嗅到商机，利用这种软件后门程序虚入，给客户带来了不必要的经济损失和麻烦。

最近，在腾讯智能安全御见威胁信息中心的监视中，发现一个叫保护眼小秘书的软件携带后门程序。 表面上是可以调整画面亮度、对应度的小工具，操作中也可以正常卸载，但实际上，如果保护眼小秘书携带后门程序，安装中就很难释放秘密后门的驱动，完全删除该软件。

(图:护眼小秘书运行接口)

根据腾讯御见威胁情报中心的监视数据，护眼小秘书特洛伊木马于年开始出现，年10月达到了发布高峰，但最近变得活跃，影响读者的超过了3万人。 这匹木马分布在全国各地，广东、山东、河南中毒电脑名列前三。 现在腾讯电脑管家已经全面调查杀死，提醒相关客户做电脑体检，及时清理持有这种走私品的特洛伊木马。

(図:保护眼小秘书影响区域)

腾讯安全技术人员表示，当保护眼小秘书特洛伊木马安装包运行时，特洛伊木马驱动drksec.sys将在安装目录下释放。 执行此驱动加载后，dll将被解密并注入系统进程。 这个dll运行后，从c2服务接收命令，或者下载其他病毒的特洛伊木马。 特洛伊木马提供卸载程序，卸载程序将删除整个安装目录，但驱动程序特洛伊木马drksec.sys将被删除而不卸载，并设置为在启动时启动。 此外，客户端计算机的浏览器主页也被强制锁定。

(图:护眼小秘书特洛伊木马执行流程图)

更令人困惑的是，保护眼睛的秘书木马后门驱动程序drksec.sys将DRMKAUUUUUUUD.SYS文件的新闻复制到自己的模块中，将正常系统文件的相关情况复制到自己的模块中，

另外，后门司机有很强的自我保护能力，所以也有难以完全清除特洛伊木马的理由。 现在，客户无法通过简单的删除或修复注册表的方式清除特洛伊木马文件。 如果尝试使用第三方工具手动删除，则由于文件重定向，通常的系统文件会被意外删除。

(图:腾讯电脑管家拦截和清除病毒)

保护眼小秘书特洛伊木马主要由下载程序推送，因此正规的官网不提供下载。 腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马强松对此表示，要注意广大客户自己的预防措施，从正规软件官网下载保护眼睛类软件，下载站， 对于已经招募的客户，可以使用腾讯电脑管家等主流的杀毒软件进行清除整理。