2014.07.03

Doctor Web公司的技术人员研究陆复杂的多功能木马Trojan.Tofsee。该木马的主要目的是发送垃圾邮件，但是它有一个非常不同寻常的功能：Trojan.Tofsee的一个模块能够删除被感染电脑上的其他木马和而已软件。

有时用户会忽视在自己的电脑上安装反病毒软件保证的必要性，因此很多用户成为恶意软件传播的受害者。可以说，从这方面来讲，感染了多组件木马Trojan.Tofsee的用户与其他人相比还有那么一点幸运，除了发送垃圾邮件，它还能够清除系统中其他威胁，这个任务真的很让人惊讶。

Trojan.Tofsee通过几种不同的方式传播：利用Skype软件，通过社交网站和便携载体。对于第一种方式不法分子利用经典的社交工程方式来达到自己的目的，试图误导潜在的受害者，通知他的好友在网上更新了有意思的照片或视频。毋庸置疑，这种做法完全可以称作拾“经典流派”，因为病毒传播者使用这种方法已经很多年了，然而容易轻信的人们还是不断的落入这个简单的陷阱。

木马从不法分子的服务器上下载特殊的模块，在社交网站Twitter、Facebook和Vkontakte以及Skype软件传播Trojan.Tofsee。发送的信息模仿配置文件中转发的内容。消息被发送给社交网站用户，并且会考虑他们所使用的民族语言。例如，给说俄语的潜在受害者发送下列信息（保留了原拼写和标点）：

Хай. Зацени свои интимные фотки :)
Привет! Офигеть... Неуж-то это ты?!
Привет друг) Попалился ты однако конекретно. Это ж ты?
Офигеть! Это ты? Это конкретное палево ч?
Ты идиот? Зачем таки? фотки выкладывать в сеть??
Спецом выложили эту фотку, где ты выглядишь как шлюха?))
Жесть!! Как можно было так спалиться?!
Твои родители уже видели?
5ли эту твою фото с вечеринки? ггг)
Вот это да! Ты прикалываешься? Такое фото выложить...)

消息内容中包括潜在受害者可能感兴趣的视频或照片的链接。但是观看该内容需要下载浏览器插件，Trojan.Tofsee正是通过这种方式传播。

恶意模块使用Microsoft Internet Explorer、Mozilla Firefox、Opera、Safari、Google Chrome浏览器cookies文件中的数据包在网站Twitter、Facebook和Vkontakte上发送消息。通过点击应用本身窗口中的按钮在Skype软件中发送消息。模块还能够识别社交网站Facebook保护用的验证码，过程是将其发送至服务器进行识别，然后木马会在相应的屏幕表格中获取需要输入的文本。

另一模块可使木马通过可移动载体传播。在这里病毒编写者同样决定不另起炉灶，而是沿用传统方式：模块将Trojan.Tofsee可执行文件保存到U盘中，在可移动载体的根目录下创建自启动文件autorun.inf。根据管理服务器命令进行感染。

还有一个模块能够使Trojan.Tofsee木马引擎从不法分子的服务器获取更新。需要使用专门的配置文件，包含完成该参数进程所必须的内容。如果没有指定其中一个参数，木马会从命令服务器下载以下有趣的图片代替更新：

但是从功能方面来讲最有意思的是其中一个模块可以搜索并删除在被感染电脑上侦测到的所有木马和其他恶意软件（当然，不包括Trojan.Tofsee本身）。这个插件可以根据指定列表在硬盘中查找文件，以及Windows系统注册表中的记录，查看正在运行的进程，删除侦测到的危险文件。因此，即使在受害者电脑上没有安装反病毒软件，Trojan.Tofsee也能够“照顾”其安全。

Trojan.Tofsee的主要目的拾发送垃圾邮件，木马从不法分子服务器下载专门的模板，编写所发送的邮件文本。利用网络和SMTP协议在Trojan.Tofsee主要模块中实现该功能。成功的连接到管理服务器后，发送给木马解密数据的密钥。然后木马向命令服务器转发自身数据，并获取下一步行动的任务命令。有趣的是，木马使用独有的脚本语言编写发送的邮件，这本身在恶意软件界是非常罕见的。

现在Trojan.Tofsee可以从远程服务器系下载17个动态数据库形式的连接模块。除了上文已经描述过的，Trojan.Tofsee运行中所使用的其他模块具有以下功能：

• 用来验证以配置数据块形式转发的远程站点地址正确性的模块；
• 进行DDoS攻击的插件。能够实现两种形式的攻击：http flood和syn flood；
• 加密Trojan.PWS.Pony.5的模块；
• 记录Microsoft Internet Explorer浏览器数据的模块。从中提取由单独的配置文件进行管理的数据库IEStub.dl并将其内置到浏览器进程中；
• 与图像文件相关的模块，在专门的构架中下载图像用于其他插件的下一步运行；
• 在Internet Account Manager和PStoreCreateInstance中提取邮箱地址，创建发送者地址%NAMEPC%@mail.ru并试图按照指定列表发送消息的模块；
• 用于加载木马Trojan.BtcMine.148脚本Bitcoin的插件。它可以在系统中安装Trojan.BtcMine.148，在启动时向其转发必要参数；
• 在文件夹system32\drivers\中安装恶意软件Trojan.Siggen.18257的模块，临时以扩展名.sys命名文件，然后运行；
• 实现http-和socks5-代理的模块；
• 用于编写和发送邮件信息的模块；使用用于编写信息的内置脚本语言，通过HTTPS协议发送。通过Microsoft Unified Security Protocol Provider方式实现SSL加密；
• 低级拦截和分析流量的数据库，使用专门的驱动。在通过FTP和SMTP协议转发的信息数据流中搜索，可以替换消息地址和主体；
• 处理配置模板并用相应方式保存的插件；
• 编写木马发送邮件所需的脚本语言相关模块。

Trojan.Tofsee恶意软件本身以及其所有组件的特征码已经添加到Dr.Web病毒数据库中，因此该木马不会对我们的反病毒软件产品用户造成威胁。Doctor Web公司的技术人员呼吁读者不要 依赖于幸运的“碰到了”一种能够保护电脑防止其他所有威胁的病毒，而应该使用更传统、更可信和更可靠的方式来进行保护——安装最新的反病毒软件，并保持其病毒库为最新状态。