据电脑管家安全中心介绍，近期一款名为“CF三尸蛊”的CF盗号木马危害较大。黑客通过CF游戏外挂捆绑此木马病毒进行盗号，广大CF游戏玩家需要提高警惕。此次黑客在外挂中捆绑的木马具有较高的隐蔽性，并且能够破坏杀毒软件的云查杀功能，当用户出现账号被盗情况之后，启动杀毒软件云查杀扫描，杀毒软件会出现连接失败等异常情况。

电脑管家安全专家提醒各位CF游戏玩家，谨慎在游戏论坛、游戏外挂下载网站下载使用CF外挂，在使用未知软件之前，最好使用杀毒软件进行扫描。目前，电脑管家7.0版提供4合1反病毒引擎扫描功能，推荐玩家使用。

此次，被黑客捆绑木马的CF外挂来自网站http://www.9173wg.com，木马名为“CF三尸蛊”(Win32.Trojan.Agent.nua)，这是一款带驱动的MBR型木马，属于远控木马。隐藏性高、内部瓦解、持久性强是它的主要特点。

该木马会感染系统文件，破坏用户的安全软件，收集用户信息，修改用户浏览器的主页，连接黑客远程计算机使用户电脑完全被黑客掌控。由此看来，黑客的野心可非同小可。而打碎黑客野心的电脑管家安全团队，成功破解拦截，维护了广大玩家的利益。

该木马是怎样隐藏?怎样内部瓦解玩家电脑的呢?让我们一起透视它的行径。

透视1：三重保险——进入玩家电脑

为了确保木马成功进入玩家电脑，黑客使用了三重保险来保证木马自启动成功：修改用户系统的MBR即用户硬盘的主引导区记录，确保优先注册系统启动;感染beep.sys系统文件(图1);

创建木马驱动服务：释放cp.exe(功能以mima1用户运行程序)和拷贝自己到C:\Temp目录,创建mima1(Administrators权限)的用户。利用cp.exe Administrators权限断开用户网络和安装木马的驱动程序。(图2)

通过 IpConfig /Release 命令断网避免安全软件的云查，断网后安全木马驱动模块。

透视二：注入木马主体——散布“害虫”内部瓦解

通过驱动程序来监视系统中部分进程的创建过程，并把safemon.dll(病毒释放的主模块)注入到所创建的进程中。以达到从内核全速瓦解玩家电脑的目的。过程如下：

① 释放C:\\Windows\\System32\\safemon.dll(病毒主体文件).

② 注册系统创建进程通知函数 PsSetCreateProcessNotifyRoutine，过滤部分进程的创建行为，对①中释放的safemon.dll进行注入。这些被注入的进程有：

透视三：屏蔽安全软件云查杀——幽禁用户安全部队

该木马一手在玩家电脑内核翻云覆雨，一手又想在电脑网络只手遮天。它屏蔽了一些安全软件的云查杀IP地址，使得安全软件部分功能失效，无法进行云查杀或更新。(如下图)

透视四：禁止用户浏览安全厂商网址——切断救援

除了软化安全软件对自身的威胁，木马还防止用户自己去查询和求救。其主体safemon.dll 会修改用户浏览器主页，过滤部分安全软件厂商的网址，来禁止用户查询相关信息。让用户仿佛在一座孤岛上，绝望沦为“鱼肉”。

透视五：完美驱动级隐藏——立足长远包藏祸心

为了持久地破坏用户电脑，成功远程控制，该木马还费尽心思，改头换面，释放并安装NtHook.sys驱动程序，主要是HOOK内核中文件与注册表操作函数以达到隐藏自己的目的。恣意来日方长的远程连接木马作者计算机，使用户计算机成为“肉机”。

综上五种透视，CF外挂所捆绑的木马可不亚于CF激战本身。电脑管家安全中心提示广大游戏玩家，慎用外挂，安全游戏。电脑管家已经成功拦截该木马，可以为您激战保驾护航。