国际安全专家齐聚一堂VB2018安全活动 腾讯安全产品关注
克日,腾讯智能安全威胁情报中心监控发现一个名为小秘书软件携带后门程序,表面上是一个小工具可以调整屏幕亮度,对比度,操作也可以正常卸载,但实际上小秘书携带后门程序,在安装过程中释放秘密后门驱动,软件难以完全消除,如狗皮膏依赖于用户计算机,威胁用户信息安全。现在,越来越多的计算机家庭非常重视同样的普通眼睛保护,并选择使用眼睛保护软件来减少长期互联网造成的眼睛的负担。然而,罪犯们嗅到了商机,利用这些软件的后门程序在水中钓鱼,给用户造成了不必要的经济损失和贫困。
日,腾讯智能安全威胁情报中心监控发现一个名为小秘书软件携带后门程序,表面上是一个小工具可以调整屏幕亮度,对比度,操作也可以正常卸载,但实际上小秘书携带后门程序,在安装过程中释放秘密后门驱动,软件难以完全消除,如狗皮膏依赖于用户计算机,威胁用户信息安全。
(图:护眼秘书操作界面)
根据腾讯威胁情报中心的监控数据,护眼秘书木马于2017年首次出现,并于2017年10月到达岑岭,最近首次活跃,影响了3万多名网民。木马在全国各地都有漫画,广东、山东和河南的中毒计算机排名前三。现在,腾讯计算机管家已经对其进行了全面的调查和杀戮,并提醒相关用户做好计算机体检,并实时清理这些带有私人商品的木马。
(图:护眼小秘书影响区)
据腾讯平安工艺专家介绍,护眼小秘书木马安装包运行后,将在安装目录下释放木马驱动drksec.sys,驱动加载后解密dll并注入系统过程dll运行后会从C2服务器吸收指令或下载其他病毒木马。虽然木马提供卸载程序,但整个安装目录将在卸载程序运行后删除,但驱动木马drksec.sys 并没有被卸载删除,并被设置为开机自启动。与此同时,用户电脑浏览器主页也会被强制锁定。
续写荣耀!腾讯电脑管家连续30次通过VB100权威认证
(图:护眼秘书木马执行流程图)
更令人困惑的是,护眼秘书木马后门驱动程序drksec.sys将正常系统文件的相关信息复制到自己的模块中,例如drmkaud.sys将文件信息复制到自己的模块中,使用户难以识别木马文件。
此外,后门驱动程序具有较强的自我珍惜能力,这也是木马难以完全消除的原因。目前,用户无法通过简单地删除或修复注册表来消除木马文件。如果实验手动删除第三方工具,正常系统文件将因文件重定向而被误删除。
(图:腾讯电脑管家阻止并查杀病毒)
由于护眼秘书木马主要通过下载器安装,没有正式的官方网站下载,腾讯计算机管家安全专家,腾讯安全反病毒实验室努力提醒广大用户采取自己的预防措施,建议从正式软件官方网站下载护眼软件,停止使用下载站、下载器等非正式网站渠道;对于招聘用户,可使用腾讯计算机管家等主流防病毒软件进行检查。
页游微端植入病毒,劫持50多个知名网站抢劫佣金