木马后门程序Backdoor.Pfinet与网络嗅探工具捉迷藏

诺顿每周病毒播报  2009年11月12日

　　病毒名称：Backdoor.Pfinet

　　病毒类型：木马

　　受影响的操作系统：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

　　病毒分析：

　　近期赛门铁克安全响应中心发现一种狡猾的木马后门程序Backdoor.Pfinet。它非常谨慎以确保自己不被安全软件“查获”。

　　运行时，Backdoor.Pfinet首先会释放出一个驱动程序并加载，以便在Windows目录下创建一个虚拟盘，用于存放病毒所需的其它组件、日志信息以及从网上下载的其它文件。接下来它会隐藏虚拟盘，并且将一些恶意文件释放到该虚拟盘中。

　　系统启动时，Backdoor.Pfinet会在受感染的用户计算机中开启后门，从而接收来自攻击者的命令，并执行以下操作：1.接收攻击者的连接请求；2.下载并执行恶意代码；3. 记录用户的键盘操作信息；4. 更新病毒模块；5. 上传自身在计算机中的运行日志及盗取的用户机密信息至指定服务器。

　　为了避免被检测，当Backdoor.Pfinet发现用户在使用网络嗅探工具时便会自动的暂时停止网络活动，使得安全软件难以发现它的恶意行为。

　　诺顿安全专家建议：

　　1. 全新2010版诺顿安全软件独创的基于信誉评级的全球智能云防护，使用赛门铁克的全球安全智能网络，实时对来自互联网的应用程序进行判断，协助用户抵御最新威胁。

　　2. 诺顿安全软件的“智能双向防火墙”功能，能阻止不明应用程序访问网络，令被窃取的用户信息无法传输。

　　3. 没有安装安全软件的用户可以访问http://www.symantec.com.cn/trialware下载诺顿360 3.0版、诺顿网络安全特警2010或诺顿防病毒 2010试用版对病毒进行查杀。

　　4. 使用诺顿2006版本及之后产品的现有用户，可以免费将产品升级至诺顿2010版本，升级网址http://www.symantec.com.cn/nuc