DevilRobber木马现新变种 盗取电子货币

消息来源：凤凰网、比特网

比特网Chinabyte11月17日编译 苹果已更新了Lion和Snow Leopard系统的病毒库，用以对付这个月初发现的DevilRobber木马。DevilRobber木马通 过Torrent种子传播，除了能够获取电脑的任何用户名和密码之外，它还能控制电脑GPU，从而获取Bitcoin虚拟货币。目前这种木马存在于某些网 站的GraphicConverter BitTorren 7.4版本中。

不过近期F-Secure称其又发现了DevilRobber木马的变种出现在盗版软件的网站上。DevilRobber原病毒最初是通过盗版流行程序Graphic Converter(图形转换器)进行传播，这与恶意软件开发者定位于其他图形工具通过发布伪装为流行的图像编辑程序如PixelMator的新版本的方法如出一辙。

变种与原来的病毒不同之处在于，原种完全嵌入在Graphic Converter整个版本中运行，而新的变种完全不包含合法的PixelMator的代码，仅仅伪装成该程序。一旦运行，这个伪装的PixelMator程序将扮演为基本的下载工具并与一些FTP进行联系，再下载和安装该恶意软件。

新的恶意软件比其前任来说有非常大的变化。但它依旧试图盗取用户的Bitcoin的电子钱包并生成虚拟货币，它现在还能进行其他操作。首先它尝试窃取各种密码管理效力程序1Password的密码，并且尝试抓取主机命令历史文件以及相关的系统登录文件。

这个版本的DevilRobber不再试图进行屏幕截图并将截图发给远程服务器，而且它也不再检查Little Snitch反转防火墙背面(该程序能够发现它的行踪并组织其与外部服务器进行通信)的存在，这种可能是期望一些安装Little Snitch的人能够授权该木马与外部服务器进行通信。

尽管如此，Little Snitch的使用和其他诸如Intego Virusbarrier反转防火墙将阻止恶意软件与外界进行通信，因此这些程序会告知你这个非授权的连接正试图访问FTP服务器，这时一定要记得不让它通过。

原始版本的DevilRobber恶意程序与目前最新的变种都是通过盗版软件流传出去的。因此建议大家最好使用正版软件，并且要从正规的网站下载运行程序，避免遭遇恶意软件。

原文链接：http://tech.ifeng.com/internet/detail_2011_11/17/10719022_0.shtml