外{过}{滤}挂里的木马 也演碟中谍

gcfhaha

　　日前，腾讯电脑管家截获一款名为Win32.Trojan.Rbot.cuob的活跃木马，该木马通常藏身于热门游戏（如穿越火线等）外{过}{滤}挂中，中招后将成为黑客的肉鸡，任其摆布，轻则导致电脑卡慢或死机，重则丢失游戏或网银账号，造成经济损失。腾讯电脑管家可实现该木马的完美查杀，建议用户在下载使用外{过}{滤}挂前启动电脑管家进行快速扫描，如已中毒，请启动全盘扫描查杀。

　　据腾讯电脑管家高级工程师介绍，中毒后有以下几种症状：
　　1.被盗号、被偷钱。
　　2.电脑卡、慢或死机。当木马接受指令，对远程计算机进行攻击时，自身电脑资源将会大大消耗，导致用户计算机变慢，变卡，严重者将会死机；
　　3.成为黑客攻击其他网站的帮凶。从目前管家的数据来看，每天至少有上千台电脑成为这个僵尸网络的一员，如果这个僵尸网络一旦发作，可以让一个小型网站瞬间崩溃。

　　【木马行为分析】
　　据腾讯电脑管家提供的木马检测和分析报告显示：
　　木马运行之后会在受害机上注册一个服务用于自启动，之后将恶意代码注入svchost.exe中，开始上传受害机的相关电脑信息，等待黑客指令。通过收到的指令，木马将会发动网站攻击、下载木马等恶意行为。
　　1. 木马拷贝自身到%system32%/WinHvqf32.exe，然后创建名为WinHmks32的服务。显示服务名为Windows Hshl System，服务描述Windows Hxon System for X32 windows desktop。
　　2. 删除木马母体本身。
　　3. WinHvqf32.exe，创建进程svchost.exe，并将自身注入其中。
　　4. svchost.exe获取本机信息，包过本地的地址，CPU，磁盘，系统等信息，发动到服务器。
　　5. Svchost.exe连接服务器，获取指令。指令包括卸载病毒服务，下载更新病毒，发动网络攻击。发动的攻击类型为“WebDownFileFlood”、“TCPSendData”、“TCPMutilConnect”、“TCPConnect”等洪水攻击。

（木马行为逻辑图）

jefffire

外X挂就是把密码交给作者，至于别人拿不拿，那就看操守和心情了。

870097067

現在的木馬越來越牛了

snakexh

又发现坑爹的木马，幸好有管家给力

hackerhao

远离外{过}{滤}挂，防止中招……不过最好安个电脑关机预防着

hanghai8

真是防不胜防啊……

我爱AC米兰

现在木马越来越厉害了，不知道什么时候就会中招……

dandanzhiweini

嗯，同意楼上，所以还是装个腾讯管家比较好，和游戏同源，比较放心～