近我為了與惡意軟件作斗爭(zhēng)，已經(jīng)弄得手忙腳亂了。最近一次是發(fā)生在上周五，我的一個(gè)朋友打電話告訴我，說(shuō)他的電腦運(yùn)行起來(lái)有些異常。簡(jiǎn)單詢問(wèn)了幾個(gè)問(wèn)題之后，我基本上確定他的電腦已經(jīng)被什么東西感染了。

　　一般情況下，這并不是什么大事。作為一個(gè)技術(shù)支持人員，我總是為朋友和客戶準(zhǔn)備一臺(tái)備用的筆記本，以便在我維護(hù)他們自己的電腦時(shí)，可以讓他們繼續(xù)自己的工作。因此我的朋友一旦有電腦問(wèn)題，都會(huì)先找到我。但是這次，我的備用筆記本已經(jīng)借出去了，聽(tīng)到這個(gè)消息，我感覺(jué)他幾乎絕望了。

　　這里要解釋一下，我的這個(gè)朋友的工作是證券交易員，他需要在周日傍晚用電腦連接到遠(yuǎn)東股票市場(chǎng)，進(jìn)行交易操作。在聽(tīng)完了他電話中的一大堆訴苦的內(nèi)容后，我不得不重復(fù)了我很久前給他的建議：你應(yīng)該再為自己準(zhǔn)備一臺(tái)備用電腦，以便在今天這種情況下不必抓狂。

　　探究問(wèn)題

　　一般情況下，我會(huì)考慮立即采用一鍵恢復(fù)來(lái)幫助他解決問(wèn)題，但是這次我沒(méi)有這么做，一方面是因?yàn)槲以谧畛踅o他安裝系統(tǒng)的時(shí)候就忘記做一鍵恢復(fù)的功能了，另一方面是我時(shí)間剛好比較充裕，很好奇到底是什么惡意軟件導(dǎo)致他的系統(tǒng)出現(xiàn)問(wèn)題的，因?yàn)槲业碾娔X日后也可能會(huì)出現(xiàn)類(lèi)似的問(wèn)題。我知道他的電腦總是會(huì)保持更新，因此被惡意軟件感染的事情實(shí)際上很少會(huì)發(fā)生。

　　所幸的是，我不用擔(dān)心保存他電腦中的工作數(shù)據(jù)，因?yàn)樗�有在移�?dòng)硬盤(pán)上備份工作數(shù)據(jù)的好習(xí)慣。于是我盡我所能開(kāi)始了調(diào)查工作。這臺(tái)電腦運(yùn)行起來(lái)確實(shí)有些怪異。我首先查看的是Microsoft更新列表。

　　我用資源管理器查看了 C:Windows下的文件，所有的補(bǔ)丁都在這里。仔細(xì)檢查了一下，我發(fā)現(xiàn)$NtUninstallKB956803$ 文件夾有問(wèn)題，補(bǔ)丁沒(méi)有被安裝。這個(gè)補(bǔ)丁文件夾指向了 MS08-066補(bǔ)丁。 我很奇怪在Windows自動(dòng)更新過(guò)程中為什么沒(méi)有安裝這個(gè)補(bǔ)丁。這是不是安全防護(hù)措施中的某個(gè)漏洞導(dǎo)致的呢?上面那個(gè)截圖顯示它應(yīng)該是被安裝了的。

　　惡意軟件名為跳跳虎，太過(guò)分了

　　在我研究這臺(tái)問(wèn)題電腦之前，我曾經(jīng)在網(wǎng)上進(jìn)行過(guò)相關(guān)問(wèn)題的搜索。其中我看到了一篇 iDefense 的安全專(zhuān)家Michael Ligh 所寫(xiě)的文章為什么我喜歡Tigger/Syzor 。哇，這可真是一個(gè)可惡的木馬。據(jù)Ligh在文章中的介紹， Tigger/Syzor是目前最成熟的木馬之一：

　　“這個(gè)木馬借用了Windows系統(tǒng)的權(quán)限升級(jí)漏洞 (MS08-066)，這個(gè)漏洞在 Milw0rm上有所介紹。它會(huì)通過(guò)特殊的手段，比如通過(guò)守護(hù)進(jìn)程向電腦用戶發(fā)出格式錯(cuò)誤信息，向命名管道發(fā)送特殊字符，以及使用程序自身額API等方式來(lái)禁用Windows Defender，Windows Firewall， Outpost， Avira, Kaspersky, AVG,以及 CA 系列產(chǎn)品。”

　　剛才我們也注意到，這臺(tái)問(wèn)題電腦在安裝升級(jí)補(bǔ)丁時(shí)遇到的問(wèn)題就是與MS08-066相關(guān)。這已經(jīng)給了我足夠的提示。Ligh在文章中還表示：

　　“木馬會(huì)安裝一個(gè)在安全模式下可以運(yùn)行的rootkit。這個(gè)rootkit會(huì)禁用系統(tǒng)內(nèi)核的debuggers, hooks FAT 和NTFS文件系統(tǒng)驅(qū)動(dòng)，另外還會(huì)防止其它進(jìn)程訪問(wèn)內(nèi)核驅(qū)動(dòng)內(nèi)容，以便阻止諸如GMER和IceSword這樣的系統(tǒng)檢查工具在內(nèi)存中覆蓋.sys文件。

　　Tigger當(dāng)然還會(huì)將代碼注入用戶模式進(jìn)程。其組件可以進(jìn)行屏幕截圖，hook COM 組件，以便竊取瀏覽器中的信息，探知密碼(如受密碼保護(hù)的存儲(chǔ)設(shè)備，網(wǎng)絡(luò)和撥號(hào)密碼，以及聊天軟件，電子郵箱，遠(yuǎn)程接入程序的密碼等)。另外它還能盜取web cookies，盜取證書(shū)，并將網(wǎng)卡設(shè)置為promiscuous 模式以便偵聽(tīng) FTP和 POP3密碼。”

　　以上這些功能使得 Tigger/Syzor 成為了一款讓人印象深刻的木馬。但這還不是全部，據(jù) ThreatExpert.com 的研究顯示，這款木馬還包含了鍵盤(pán)記錄，收集系統(tǒng)信息，開(kāi)啟系統(tǒng)后門(mén)，甚至與命令和控制服務(wù)器取得聯(lián)系的功能。通過(guò)Malware Domain List ，我們可以知道這個(gè)木馬所使用的聯(lián)絡(luò)域名是什么。

　　Tigger/Syzor 也試圖做好事

　　具有諷刺意味的是，Tigger/Syzor還試圖幫助用戶刪除電腦中已存在的惡意軟件(多達(dá)20種不同的惡意軟件)。專(zhuān)家們認(rèn)為，這么做的目的是讓系統(tǒng)運(yùn)行起來(lái)盡可能的正常。

　　Tigger/Syzor鎖定股票市場(chǎng)

　　在研究這個(gè)相當(dāng)聰明的木馬時(shí)，我讀到了華盛頓郵報(bào)上一篇由Brian Krebs撰寫(xiě)的文章The Tigger Trojan: Icky, Sticky Stuff ，立刻注意到了一點(diǎn)其它文章沒(méi)有提到的問(wèn)題。出于某種目的， Tigger/Syzor木馬尤其偏愛(ài)那些證券公司的客戶或者參與股票和期權(quán)交易的交易人員。Krebs提供一份簡(jiǎn)短的列表：

　　“在Tigger非常短小的感染目標(biāo)名單中，包括了E-Trade, ING Direct ShareBuilder, Vanguard, Options XPress, TD Ameritrade 以及 Scottrade等機(jī)構(gòu)。”

　　我的好奇心大起，于是打電話詢問(wèn)我的朋友，是否參與了以上某家機(jī)構(gòu)的股票交易。答案是肯定的，作為交易員，他日常的工作就是與上述多家機(jī)構(gòu)進(jìn)行交易。因此我希望那些同樣與上述機(jī)構(gòu)有聯(lián)系的讀者趕緊檢查一下自己的電腦。

　　相對(duì)未知的木馬

　　Krebs 在文中提到， Ligh最初是在2008年11月發(fā)現(xiàn)Tigger/Syzor木馬的。四個(gè)月后，我認(rèn)為網(wǎng)上應(yīng)該會(huì)有更多的有關(guān)這個(gè)木馬的信息，但是事實(shí)相反。這有可能是因?yàn)榉磹阂廛浖�行業(yè)對(duì)于這個(gè)木馬的曝光程度不足有關(guān)。這也導(dǎo)致了我之前對(duì)這個(gè)木馬不慎了解。我甚至覺(jué)得Tigger/Syzor 木馬正在悄悄的展開(kāi)自己的股市業(yè)務(wù)。