对“小耗子”木马的回顾网
传统黑客是一群技术高超、热衷挑战的电脑专家,可如今木马产业的发达,让一些不懂技术、只会滥用黑客工具的“菜鸟黑客”也干起了不法勾当,但也因此经常闹出大笑话。近日360安全中心发现,一个感染了至少6万多台电脑的木马传播者因缺乏安全意识,其服务器统计管理后台竟使用默认密码“admin”而“门户大开”,其作恶行径也因此完全暴露在世人面前。
“这种使用现成黑客工具去传播恶意代码的人,一般不需要懂多少技术,业内称之为‘脚本小子’。”360安全专家石晓虹介绍说,“别看这些“脚本小子”技术含量不太高,有的甚至‘很傻很天真’,但目前主要是这些人在网上具体实施网页挂马、木马传播等作恶行为。” 根据360安全中心监控到的数据,截至4月8日下午,这个粗心的“菜鸟黑客”,就已将“小耗子”木马植入了至少65497名网友的电脑。
图片说明:“小耗子”木马下载者的统计后台显示,已感染了6万多用户
“‘小耗子’下载器是一款已活跃了两年、至今仍极具“攻击性”的木马,它不仅能破坏安全软件的防御体系,还可屏蔽其它感染型木马下载者,以保证自己运行得更为流畅。” 360安全专家石晓虹博士说,“这两年来,‘小耗子’的幕后控制者一直在针对主流杀毒软件持续进行‘免杀’更新,并雇佣了很多‘脚本小子’到处通过网页挂马等方式传播。我们截获样本后逆向分析到的这个统计后台,应该就是‘脚本小子’和木马幕后控制者或购买‘小耗子’使用权的‘包马人’之间结算的依据。”
据了解,本次截获的“小耗子”版本号为“090405”,该木马下载器进入目标电脑后,会继续下载针对32款热门网游的盗号木马。360工程师登录“小耗子”传播统计后台发现,“中招”电脑的网卡MAC信息、IP地址等资料均一目了然,它在4月7日一天内的感染量就达到5781个,当时安装总量共计65497个,这还仅仅是一个“脚本小子”的“战果”。
图片说明:“小耗子”的生成器界面,不同“脚本小子”拥有独立的后台统计地址
“这些‘脚本小子’往往是通过勾结不良网站直接‘挂马’或使用黑客工具入侵某些大流量网站服务器后实施‘网页挂马’等方式,将‘小耗子’等木马植入无辜用户电脑。”360安全专家石晓虹博士认为,随着网络技术的高度发展和木马产业链的精细化分工,很多完全不懂技术的“菜鸟黑客”通过日益强大的傻瓜式黑客工具,就可以大规模实施木马传播和盗号等不法行为。
“‘小耗子’这两年来持续进行“免杀”更新和作恶,而统计后台却“大门长开”,这一方面说明了传统的杀毒机制根本无法对付日益泛滥的木马,另一方面也说明大部分小黑客其实没什么可怕的,他们很可能就是我们身边一个只会用用小黑客工具的菜鸟用户。普通网友要有足够的信心能保护好自己的电脑。只要你能做到常打补丁、定期升级安全软件并经常对电脑进行体检,就能把绝大部分木马、病毒威胁阻挡在电脑之外。”