[摘要]腾讯电脑管家是目前唯一未被“食猫鼠”阻断云安全服务的安全软件。
腾讯科技讯 近日,沉默数月后,年度最强木马“食猫鼠”正通过色情网站、群共享等途径大规模扩散,腾讯反病毒实验室提供的数据显示,已有超过百万台电脑中招。
“食猫鼠”寄生于网络电台软件FIFM安装包(fifm_??????.exe,名称后缀因不同变种而异),在用户启动安装FIFM时释放并感染电脑,感染后具备极强反跟踪能力和自我更新能力。“食猫鼠”向特定服务器周期性询问配置指令,其操纵者可以远程完全控制用户电脑,安全威胁等级极高。
“食猫鼠”自带360异常信息收集服务(DumpUper)和百度在线升级服务(BDLiveUpdateSvc),执行后向其注入恶意代码,利用DumpUper下载和释放恶意程序、创建BDLiveUpdateSvc并设置其为开机启动,助其执行恶意程序。合法进程DumpUper、BDLiveUpdateSvc等沦为傀儡,“食猫鼠”穿上了警服。这正是其名称的由来。
为了躲避分析与追踪,“食猫鼠”严密监视用户特定行为,如果发现用户正在使用常用反向分析与调试工具,或当前正在虚拟机中运行,便放弃感染用户电脑。
检测进程和窗口:
检测调试器:
检测虚拟机:
为了躲避查杀,“食猫鼠”各功能模块被伪装成jpg、gif、ico或dat等图片或数据文件,使用私有算法加密/解密,借助私有PE加载器在内存中直接执行;同时,“食猫鼠”还在驱动层“防御”安全防护软件,阻断安全软件与云安全服务器间的正常通信,破坏云查杀与病毒库更新。
值得一提的是,腾讯电脑管家凭借云查功能的某一特殊保护机制,是目前唯一未被“食猫鼠”阻断云安全服务的安全软件,同时也是目前唯一能够完美拦截和查杀“食猫鼠”及其全部已知变种的安全软件。
拦截:
查杀:
深度分析显示,“食猫鼠”除了向远控主机报告在线状态外,还会后台强制推广(自动静默下载和安装)百度卫士、百度杀毒、百度浏览器、UC浏览器、WPS等软件(赚取推广费),操纵者是否还有其它意图,尚待进一步观察。
腾讯安全专家提醒网民,下载软件首选厂商官方网站,次选第三方知名下载网站,避免下载和安装来源不明的软件,在安装前注意验证安装包数字签名的有效性。同时,我们呼吁行业自律,自我规范不良推广行为,切断此类木马制造者和操纵者的利益链条。