F117隐形木马大肆盗号 众多杀毒软件监控失效

　　近日，金山网络截获到一个特殊的后门程序“F117隐形木马”，该木马用两种特殊的加载方式启动，绕过众多安全软件的防御系统。使用金山毒霸2011快速扫描，可检查电脑是否已被F117隐形木马控制。

　　主流杀毒软件的主动防御会监视系统数百个敏感的加载点，一旦发生改变就会报警提醒。而这个被命名为F117隐形木马，却未使用常规的加载方法，而是利用两个特殊的系统服务来实现开机自动运行。

　　“这两处加载点处于众多主流杀毒软件的监视盲区，就象给战机涂装了隐形材料，传统雷达就会变成瞎子”。金山毒霸工程师这样形容这个F117隐形木马。如果不幸运行，精通系统管理的技术人员使用Autoruns和任务管理器也不能发现该木马的运行痕迹，使用Tcpview之类的网络监视工具可以发现系统存在危险连接。

　　除使用特殊的加载方式以外，F117隐形木马还使用垃圾信息填充自身，使程序体积增大到80MB左右，用来逃避杀毒软件的云安全系统。“体积小巧的程序被云安全系统收集只是一瞬间的事儿，病毒把自己变大，就是防止后门程序被杀毒软件的云安全系统收集。”金山毒霸工程师解释说，目前针对大文件的收集难题已被金山毒霸攻克。

　　一段时间以来，众多网民曾遭遇过朋友QQ线上借钱，事后才发现是朋友的QQ被盗，而被骗后却无法挽回损失。金山毒霸工程师在分析F117隐形木马之后判断：这个功能强大的木马可能与此类网络诈骗活动有关。该木马还会盗窃热门网游帐号、监听剪贴板、记录键盘操作。仅从代码量分析，他认为F117隐形木马的功能远不止这些。

　　F117隐形木马主要通过QQ传播，病毒集团利用盗取的QQ号发送“q q . 载 . 未 . 命 . 名 .. .. .. . .rar、我 的 照 片.rar”等压缩文件给好友，若误以为是朋友发送的照片，双击后，还会真的打开一张照片，与此同时，木马程序已经运行。

　　针对F117隐形木马的特殊加载方式，金山毒霸工程师对现有的防杀系统进行改进，可以完全清除该木马。曾经接收过朋友照片的网友，可使用金山毒霸快速查杀来诊断电脑是否已被植入F117隐形木马。另外，使用内置的防黑客补丁对系统加固，以避免电脑被远程黑客轻易入侵。