新木马变狡猾 用杀毒软件作掩护

猎人

日前，亚特兰大SecureWorks一名高级安全研究员Joe Stewart发现了一种利用反病毒软件来掩护自己的新木马病毒，这种木马病毒在安装反病毒软件之后还会清除被感染PC上的其它恶意软件。

   据了解，这种木马名为SpamThru，是一款被设计可以从被感染的计算机发出垃圾邮件的恶意软件，在被感染的PC上安装卡巴斯基实验室的AntiVirus for WinGate软件，这一盗版软件能够扫描系统上的恶意代码━━但能够漏过SpamThru自己的文件，然后在PC下次启动时删除发现的恶意代码。

    Joe Stewart表示：“这是我第一次看到这种情况，它的重要性在于其新的创意。它这样做的目的仅是为了将所有系统资源占为己有——如果系统中存在诸如大量发送邮件的病毒与之竞争，这将降低它可以发送的垃圾数量。”

    据悉，一般病毒和木马是通过在hosts文件中将反病毒软件升级站点设置为本地地址，通常只是关闭反病毒软件或者阻止反病毒软件升级病毒特征库、清除具体的恶意代码。

    SpamThru的出现，表明木马病毒技术又达到了一个新的水平。事实上SpamThru使用了一个反病毒引擎以对付潜在的竞争者，借此来掩护自己。在启动时，它会从作者的命令与控制服务器请求并装载一个DLL，在下载DLL文件十分钟后，它就会开始扫描系统。

    Joe Stewart表示，SpamThru还具有其它的先进技术，如使用自定义的P2P协议以与其他人共享信息，使用了一个巧妙的指令与控制结构以避免被关闭等等。