本周安全公司McAfee的一位研究人员警告说,有种意图危及系统安全的特洛伊木马程序,用微软Windows的加密文件系统来扰乱它的有效载荷并且逃避系统检测。
该攻击工具包括两个主要组件:一个称为Qdial-45的拨号器和一个称为Spy-Agent.bf的加密下载器。拨号器把当前的调制解调器的连接断开并且拨叫显示成人内容的付费服务。下载器用加密文件系统(EFS)来混淆它自己,并且从一系列的互联网站点中检索更新内容。
据McAfee在它的研究日志中称,该木马会建立一个使用随机生成的用户名和密码的管理员登陆帐户。“使用该用户名和密码它把遇到的下载器组件加密. 然后它建立一个指向加密文件的随机服务,用新建立的登陆和密码的上网工具。”
该攻击工具是最新的、使用加密技术来使自身不被桌面安全软件(如防毒应用程序)检测到的恶意软件。上个月,安全公司赛门铁克,也就是SecurityFocus的所有者,特别强调了使用加密术和特定Windows功能来隐藏自己的一种病毒。还有其他的恶意代码,比如ransomware,它使用加密技术来扰乱受害文件系统,并且只有受害者付费后它才提供解除干扰的要诀。
McAfee称该木马最早是在八月初被发现的,最近感染该木马的事件越来越多了。
(t116)
======================================
原文链接:http://www.securityfocus.com/brief/297
