如今,越来越多的电脑族都很重视日常护眼,选择使用护眼类软件来减轻长时间上网对眼睛造成的负担。然而,不法分子从中嗅到“商机”,借助该类软件后门程序乘虚而入,给用户造成不必要的经济损失和麻烦。
近日,腾讯智慧安全御见威胁情报中心监测发现一款名为“护眼小秘书”的软件携带后门程序,表面上看起来是一个可调整屏幕亮度、对比度的小工具,操作中也能够“正常”卸载,但实际上“护眼小秘书”私自携带后门程序,在安装过程中会释放“秘眼”后门驱动,同时该软件难以彻底清除,有如“狗皮膏药”般赖在用户电脑中,威胁用户的信息安全。
据腾讯御见威胁情报中心监控数据显示,“护眼小秘书”木马在2017年开始出现,在2017年10月达到传播高峰,而近期又开始活跃,影响网民已经超过3万人。该木马在全国各地均有分布,广东、山东、河南中毒电脑位居前三。目前,腾讯电脑管家已对其进行全面查杀,并提醒相关用户做好电脑体检,及时清理此类挟带“私货”的木马。
据腾讯安全技术专家介绍,“护眼小秘书”木马安装包运行后会在安装目录下释放木马驱动drksec.sys, 该驱动加载运行后会解密dll并注入系统进程,该dll运行后将会从C2服务器接收指令或下载其他病毒木马。虽然该木马提供了卸载程序,运行卸载程序后整个安装目录也会被删除,但是驱动木马drksec.sys 并没有被卸载删除,并被设置为开机自启动。与此同时,用户电脑浏览器主页也会被强制锁定。
更具有迷惑性的是,“护眼小秘书”木马后门驱动程序drksec.sys会拷贝正常系统文件的相关信息到自身模块,如将drmkaud.sys文件信息拷贝到自身模块上,使得用户难以识别出木马文件。
此外,后门驱动程序有较强的自我保护能力也是该木马难以彻底清除的原因。目前,用户无法通过简单删除或修复注册表的方式清除木马文件,若其尝试利用第三方工具手动删除,会因为文件重定向的原因,误删除正常系统文件。
由于“护眼小秘书”木马主要是通过下载器推装,并无正规的官方网站提供下载,腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松对此提醒广大用户做好自身防范措施,建议从正规软件官网下载护眼类软件,避免使用下载站、下载器等非正规网站渠道;对于已经“中招”的用户,可以使用腾讯电脑管家等主流杀毒软件进行查杀清理。
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
