近日，安天 CERT（安全研究與應(yīng)急 處理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)注意到， 一例運(yùn)行在 Windows 平臺(tái)下的具有鎖機(jī)功 能的木馬樣本“ShimCache”在網(wǎng)絡(luò)中開(kāi) 始傳播。當(dāng)用戶運(yùn)行惡意代碼后，該木馬 會(huì)在 Windows 系統(tǒng)中添加自身為啟動(dòng)項(xiàng)， 并使系統(tǒng)重啟。當(dāng)系統(tǒng)重啟時(shí)，此鎖機(jī)樣 本會(huì)一起啟動(dòng)，鎖定計(jì)算機(jī)。在開(kāi)機(jī)界面 等待用戶輸入密碼，用戶需要與作者聯(lián)系 并交付一定贖金才能解開(kāi)密碼，密碼錯(cuò)誤 則停留在鎖機(jī)界面。該木馬對(duì)用戶的計(jì)算 機(jī)安全產(chǎn)生了較大的威脅。

     “ShimCache” 啟動(dòng)后，首先將自身 拷 貝 到 C:\WINDOWS\system32\svchose.exe 目錄下，隨后修改注冊(cè)表，將自身添 加為開(kāi)機(jī)啟動(dòng)項(xiàng)以保證持久化運(yùn)行。使用 rand() 函數(shù)生成隨機(jī)數(shù)并將此隨機(jī)數(shù)、木 馬作者 QQ 號(hào)碼以及隨機(jī)數(shù) +212 存儲(chǔ)到 指定的內(nèi)存區(qū)域中。該木馬會(huì)將計(jì)算機(jī)系 統(tǒng)管理員密碼設(shè)置為 123，并將主引導(dǎo)扇 區(qū)的數(shù)據(jù)存儲(chǔ)到第三扇區(qū)，然后將鎖機(jī)代 碼存儲(chǔ)到主引導(dǎo)扇區(qū)。當(dāng)用戶重新開(kāi)機(jī)時(shí) 便會(huì)執(zhí)行鎖機(jī)代碼。鎖機(jī)代碼使用 int 10h 中斷來(lái)顯示 QQ 和隨機(jī)數(shù)信息。調(diào)用 int 16h 中斷，讀取鍵盤(pán)輸入的字符，若接收 到回車(chē)鍵，則進(jìn)行密碼比對(duì)，若密碼錯(cuò)誤 返回鎖機(jī)代碼開(kāi)始處，若密碼正確則將第 三扇區(qū)的正確的主引導(dǎo)扇區(qū)數(shù)據(jù)讀取出來(lái)寫(xiě)入主引導(dǎo)扇區(qū)。經(jīng)過(guò)分析，密碼為屏幕 上顯示的隨機(jī)數(shù)加 212。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用者， 要提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及 時(shí)進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不要隨意下 載非正版的應(yīng)用軟件、非官方游戲、注冊(cè) 機(jī)等。收發(fā)郵件時(shí)要確認(rèn)收發(fā)來(lái)源是否可 靠，更加不要隨意點(diǎn)擊或者復(fù)制郵件中的 網(wǎng)址，不要輕易下載來(lái)源不明的附件，發(fā) 現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時(shí)采取應(yīng)對(duì)措 施，養(yǎng)成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用的 好習(xí)慣。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了 對(duì)該類(lèi)惡意代碼的檢出。