近日，安天 CERT（安全研究與應(yīng) 急處理中心）在梳理網(wǎng)絡(luò)安全事件時發(fā) 現(xiàn)一例 Windows 平臺的具有鎖機功能的 木馬樣本。該木馬會繞過 360 監(jiān)控，結(jié) 束 360 實時監(jiān)控程序，替換主引導(dǎo)扇區(qū) 數(shù)據(jù)，并使系統(tǒng)重啟。系統(tǒng)重啟后，會 顯示勒索信息“yao mi ma gei 30 yuan jia qq2055965068”等待用戶輸入密碼。

     該樣本啟動后，首先安裝各種鉤子， 攔截 Windows 消息，用戶雙擊運行軟件后 會跳轉(zhuǎn)到惡意代碼的位置執(zhí)行惡意代碼。 該樣本根據(jù)不同的控制指令執(zhí)行不同的操 作。樣本在編寫時就已經(jīng)在函數(shù)調(diào)用時確 定了控制指令，在實際運行時不需要人為 進(jìn)行指令控制。其中指令 0x7d8 執(zhí)行勒索軟件的關(guān)鍵代碼，指令 0.x7e8 分配內(nèi)存用 于存儲勒索信息。該樣本會將 360 相關(guān)的 注冊表值設(shè)置為 0，從而繞過 360 監(jiān)控。 該樣本利用控制指令分配內(nèi)存，將勒索語 句和密碼 ssssss 存儲到內(nèi)存中。該樣本會 將原主引導(dǎo)扇區(qū)的數(shù)據(jù)存儲到第三扇區(qū)， 將勒索信息寫入主引導(dǎo)扇區(qū)，系統(tǒng)重啟后 便會讀取主引導(dǎo)扇區(qū)的數(shù)據(jù)，然后顯示勒 索語句，等待用戶輸入正確的密碼從而進(jìn) 入系統(tǒng)。該樣本將自身復(fù)制到 C:\Program Files\System.dll，對樣本文件進(jìn)行多次讀 取、寫入，刪除樣本文件的原數(shù)據(jù)。在 C:\Program Files\ 目錄下創(chuàng)建 360.dll 文件， 360.dll 文件是白文件，用來迷惑用戶，掩 飾 System.dll。 最 后 該 樣 本 會 調(diào) 用 taskill.exe 結(jié) 束 360 實 時 監(jiān) 控 程 序 360tray.exe， 然后重啟系統(tǒng)。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用者， 要提高網(wǎng)絡(luò)安全意識，在日常工作中要及 時進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不要隨意下 載非正版的應(yīng)用軟件、非官方游戲、注冊 機等。收發(fā)郵件時要確認(rèn)收發(fā)來源是否可 靠，更加不要隨意點擊或者復(fù)制郵件中的 網(wǎng)址，不要輕易下載來源不明的附件，發(fā) 現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時采取應(yīng)對措 施，養(yǎng)成及時更新操作系統(tǒng)和軟件應(yīng)用的 好習(xí)慣。目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了 對該類惡意代碼的檢出。