日前，騰訊電腦管家截獲一款名為Win32.Trojan.Rbot.cuob的活躍木馬，該木馬通常藏身于熱門游戲（如穿越火線等）外掛中，中招后將成為黑客的肉雞，任其擺布，輕則導(dǎo)致電腦卡慢或死機(jī)，重則丟失游戲或網(wǎng)銀賬號(hào)，造成經(jīng)濟(jì)損失。騰訊電腦管家可實(shí)現(xiàn)該木馬的完美查殺，建議用戶在下載使用外掛前啟動(dòng)電腦管家進(jìn)行快速掃描，如已中毒，請(qǐng)啟動(dòng)全盤掃描查殺。

據(jù)騰訊電腦管家高級(jí)工程師介紹，中毒后有以下幾種癥狀：

1.被盜號(hào)、被偷錢。

2.電腦卡、慢或死機(jī)。當(dāng)木馬接受指令，對(duì)遠(yuǎn)程計(jì)算機(jī)進(jìn)行攻擊時(shí)，自身電腦資源將會(huì)大大消耗，導(dǎo)致用戶計(jì)算機(jī)變慢，變卡，嚴(yán)重者將會(huì)死機(jī)；

3.成為黑客攻擊其他網(wǎng)站的幫兇。從目前管家的數(shù)據(jù)來(lái)看，每天至少有上千臺(tái)電腦成為這個(gè)僵尸網(wǎng)絡(luò)的一員，如果這個(gè)僵尸網(wǎng)絡(luò)一旦發(fā)作，可以讓一個(gè)小型網(wǎng)站瞬間崩潰。

【木馬行為分析】

據(jù)騰訊電腦管家提供的木馬檢測(cè)和分析報(bào)告顯示：

木馬運(yùn)行之后會(huì)在受害機(jī)上注冊(cè)一個(gè)服務(wù)用于自啟動(dòng)，之后將惡意代碼注入svchost.exe中，開(kāi)始上傳受害機(jī)的相關(guān)電腦信息，等待黑客指令。通過(guò)收到的指令，木馬將會(huì)發(fā)動(dòng)網(wǎng)站攻擊、下載木馬等惡意行為。

1.木馬拷貝自身到%system32%/WinHvqf32.exe，然后創(chuàng)建名為WinHmks32的服務(wù)。顯示服務(wù)名為WindowsHshlSystem，服務(wù)描述WindowsHxonSystemforX32windowsdesktop。

2.刪除木馬母體本身。

3.WinHvqf32.exe，創(chuàng)建進(jìn)程svchost.exe，并將自身注入其中。

4.svchost.exe獲取本機(jī)信息，包過(guò)本地的地址，CPU，磁盤，系統(tǒng)等信息，發(fā)動(dòng)到服務(wù)器。

5.Svchost.exe連接服務(wù)器，獲取指令。指令包括卸載病毒服務(wù)，下載更新病毒，發(fā)動(dòng)網(wǎng)絡(luò)攻擊。發(fā)動(dòng)的攻擊類型為“WebDownFileFlood”、“TCPSendData”、“TCPMutilConnect”、“TCPConnect”等洪水攻擊。

（木馬行為邏輯圖）