最新电脑病毒!【病毒播报】腾讯电脑管家狙击木马“食猫鼠”

腾讯科技讯 近日，沉默数月后，年度最强木马“食猫鼠”正通过色情网站、群共享等途径大规模扩散，腾讯反病毒实验室提供的数据显示，已有超过百万台电脑中招。

“食猫鼠”寄生于网络电台软件FIFM安装包（fifm_??????.exe，名称后缀因不同变种而异），在用户启动安装FIFM时释放并感染电脑，感染后具备极强反跟踪能力和自我更新能力。“食猫鼠”向特定服务器周期性询问配置指令，其操纵者可以远程完全控制用户电脑，安全威胁等级极高。

“食猫鼠”自带360异常信息收集服务（DumpUper）和百度在线升级服务（BDLiveUpdateSvc），执行后向其注入恶意代码，利用DumpUper下载和释放恶意程序、创建BDLiveUpdateSvc并设置其为开机启动，助其执行恶意程序。合法进程DumpUper、BDLiveUpdateSvc等沦为傀儡，“食猫鼠”穿上了警服。这正是其名称的由来。

为了躲避分析与追踪，“食猫鼠”严密监视用户特定行为，如果发现用户正在使用常用反向分析与调试工具，或当前正在虚拟机中运行，便放弃感染用户电脑。

检测进程和窗口：

检测调试器：

检测虚拟机：

为了躲避查杀，“食猫鼠”各功能模块被伪装成jpg、gif、ico或dat等图片或数据文件，使用私有算法加密/解密，借助私有PE加载器在内存中直接执行；同时，“食猫鼠”还在驱动层“防御”安全防护软件，阻断安全软件与云安全服务器间的正常通信，破坏云查杀与病毒库更新。

值得一提的是，腾讯电脑管家凭借云查功能的某一特殊保护机制，是目前唯一未被“食猫鼠”阻断云安全服务的安全软件，同时也是目前唯一能够完美拦截和查杀“食猫鼠”及其全部已知变种的安全软件。

拦截：

查杀：

深度分析显示，“食猫鼠”除了向远控主机报告在线状态外，还会后台强制推广（自动静默下载和安装）百度卫士、百度杀毒、百度浏览器、UC浏览器、WPS等软件（赚取推广费），操纵者是否还有其它意图，尚待进一步观察。

腾讯安全专家提醒网民，下载软件首选厂商官方网站，次选第三方知名下载网站，避免下载和安装来源不明的软件，在安装前注意验证安装包数字签名的有效性。同时，我们呼吁行业自律，自我规范不良推广行为，切断此类木马制造者和操纵者的利益链条。