成熟的木马专门盯住股票经纪人

　　近我为了与恶意软件作斗争，已经弄得手忙脚乱了。最近一次是发生在上周五，我的一个朋友打电话告诉我，说他的电脑运行起来有些异常。简单询问了几个问题之后，我基本上确定他的电脑已经被什么东西感染了。

　　一般情况下，这并不是什么大事。作为一个技术支持人员，我总是为朋友和客户准备一台备用的笔记本，以便在我维护他们自己的电脑时，可以让他们继续自己的工作。因此我的朋友一旦有电脑问题，都会先找到我。但是这次，我的备用笔记本已经借出去了，听到这个消息，我感觉他几乎绝望了。

　　这里要解释一下，我的这个朋友的工作是证券交易员，他需要在周日傍晚用电脑连接到远东股票市场，进行交易操作。在听完了他电话中的一大堆诉苦的内容后，我不得不重复了我很久前给他的建议：你应该再为自己准备一台备用电脑，以便在今天这种情况下不必抓狂。

　　探究问题

　　一般情况下，我会考虑立即采用一键恢复来帮助他解决问题，但是这次我没有这么做，一方面是因为我在最初给他安装系统的时候就忘记做一键恢复的功能了，另一方面是我时间刚好比较充裕，很好奇到底是什么恶意软件导致他的系统出现问题的，因为我的电脑日后也可能会出现类似的问题。我知道他的电脑总是会保持更新，因此被恶意软件感染的事情实际上很少会发生。

　　所幸的是，我不用担心保存他电脑中的工作数据，因为他有在移动硬盘上备份工作数据的好习惯。于是我尽我所能开始了调查工作。这台电脑运行起来确实有些怪异。我首先查看的是Microsoft更新列表。

　　我用资源管理器查看了 C:Windows下的文件，所有的补丁都在这里。仔细检查了一下，我发现$NtUninstallKB956803$ 文件夹有问题，补丁没有被安装。这个补丁文件夹指向了 MS08-066补丁。 我很奇怪在Windows自动更新过程中为什么没有安装这个补丁。这是不是安全防护措施中的某个漏洞导致的呢?上面那个截图显示它应该是被安装了的。

　　恶意软件名为跳跳虎，太过分了

　　在我研究这台问题电脑之前，我曾经在网上进行过相关问题的搜索。其中我看到了一篇 iDefense 的安全专家Michael Ligh 所写的文章为什么我喜欢Tigger/Syzor 。哇，这可真是一个可恶的木马。据Ligh在文章中的介绍， Tigger/Syzor是目前最成熟的木马之一：

　　“这个木马借用了Windows系统的权限升级漏洞 (MS08-066)，这个漏洞在 Milw0rm上有所介绍。它会通过特殊的手段，比如通过守护进程向电脑用户发出格式错误信息，向命名管道发送特殊字符，以及使用程序自身额API等方式来禁用Windows Defender，Windows Firewall， Outpost， Avira, Kaspersky, AVG,以及 CA 系列产品。”

　　刚才我们也注意到，这台问题电脑在安装升级补丁时遇到的问题就是与MS08-066相关。这已经给了我足够的提示。Ligh在文章中还表示：

　　“木马会安装一个在安全模式下可以运行的rootkit。这个rootkit会禁用系统内核的debuggers, hooks FAT 和NTFS文件系统驱动，另外还会防止其它进程访问内核驱动内容，以便阻止诸如GMER和IceSword这样的系统检查工具在内存中覆盖.sys文件。

　　Tigger当然还会将代码注入用户模式进程。其组件可以进行屏幕截图，hook COM 组件，以便窃取浏览器中的信息，探知密码(如受密码保护的存储设备，网络和拨号密码，以及聊天软件，电子邮箱，远程接入程序的密码等)。另外它还能盗取web cookies，盗取证书，并将网卡设置为promiscuous 模式以便侦听 FTP和 POP3密码。”

　　以上这些功能使得 Tigger/Syzor 成为了一款让人印象深刻的木马。但这还不是全部，据 ThreatExpert.com 的研究显示，这款木马还包含了键盘记录，收集系统信息，开启系统后门，甚至与命令和控制服务器取得联系的功能。通过Malware Domain List ，我们可以知道这个木马所使用的联络域名是什么。

　　Tigger/Syzor 也试图做好事

　　具有讽刺意味的是，Tigger/Syzor还试图帮助用户删除电脑中已存在的恶意软件(多达20种不同的恶意软件)。专家们认为，这么做的目的是让系统运行起来尽可能的正常。

　　Tigger/Syzor锁定股票市场

　　在研究这个相当聪明的木马时，我读到了华盛顿邮报上一篇由Brian Krebs撰写的文章The Tigger Trojan: Icky, Sticky Stuff ，立刻注意到了一点其它文章没有提到的问题。出于某种目的， Tigger/Syzor木马尤其偏爱那些证券公司的客户或者参与股票和期权交易的交易人员。Krebs提供一份简短的列表：

　　“在Tigger非常短小的感染目标名单中，包括了E-Trade, ING Direct ShareBuilder, Vanguard, Options XPress, TD Ameritrade 以及 Scottrade等机构。”

　　我的好奇心大起，于是打电话询问我的朋友，是否参与了以上某家机构的股票交易。答案是肯定的，作为交易员，他日常的工作就是与上述多家机构进行交易。因此我希望那些同样与上述机构有联系的读者赶紧检查一下自己的电脑。

　　相对未知的木马

　　Krebs 在文中提到， Ligh最初是在2008年11月发现Tigger/Syzor木马的。四个月后，我认为网上应该会有更多的有关这个木马的信息，但是事实相反。这有可能是因为反恶意软件行业对于这个木马的曝光程度不足有关。这也导致了我之前对这个木马不慎了解。我甚至觉得Tigger/Syzor 木马正在悄悄的展开自己的股市业务。

　　说回到我朋友的电脑

　　由于这个木马如此隐秘，并且网上的相关信息也不够丰富，我不知道自己能不能幸运的将其从朋友的电脑中删除。另外，由于它禁止我安装HiJackThis 或 MBAM 这类高级系统工具，我不得不承认这个木马相当聪明。由于Ligh在他的文章中已经提到了，所以我也没有浪费时间去尝试GMER。

　　于是我使用了一个很多TechRepublic用户教给我的小伎俩：将MBAM的安装文件改名，有时候能成功安装MBAM。 于是我修改了MBAM安装文件的名字，果然成功安装。运行 MBAM 后，软件提示我有多个文件为疑似木马文件，于是我将他们一一删除。多次运行 MBAM后，我终于能确认系统中已经没有疑似的木马文件了。

　　从表面看，朋友的系统已经恢复了正常的操作。但是我仍然不够确信，于是我干脆重新安装了系统，以确保绝对安全。安装之后，我对系统做了镜像。虽然费了不少时间，但是我仍然很高兴能够清楚的知道朋友的系统发生了什么问题，并且算是开了眼界。

　　总 结

　　正如我在文中提到的， Tigger/Syzor 是一个相当安静的木马，用户甚至不知道自己已经被木马入侵。尽管如此，我的朋友仍然幸运的察觉到了被木马入侵后的电脑系统与之前的系统存在些许的差异。

　　最后，我要用 Michael Ligh 的一段话作为结束，因为这也是我想对大家说的：

　　“最令人感到可怕的是，我们还不清楚Tigger是如何传播的。我看过很多盗取用户信息的恶意软件，而Tigger 是我见到的第一个在传播的同时还会删除其它恶意软件的木马。”