4月28日讯 网络安全公司Forcepoint经过几周的追踪发现一款远程访问木马(RAT)Felismus。这款木马相对复杂，一旦感染系统，这款木马能自我更新功能，以便于攻击者秘密实施活动，例如键盘记录、流量分析、进一步部署恶意软件等间谍活动。

　　这款木马被命名为“Felismus”，是因为它在唯一可读加密密钥中提到了“Tom & Jerry”。在拉丁语中，Felis指的是猫，Mus指的是老鼠。这款木马似乎主要用于执行间谍活动。虽然受害者和幕后黑手的身份仍是一个谜，鉴于它十分罕见，可以合理推测Felismus仅针对精确的针对性目标。

　　Felismus木马“身手不凡”

　　Felismus冒充Adobe 内容管理系统((Content Management System))文件来渗透系统，将恶意文件显示为“AdobeCMS.exe”。与其它形式的恶意软件类似，Felismus的散布方法可能是网络钓鱼电子邮件攻击，以此诱骗受害者误认为自己下载的是Adobe更新。
 

　　一旦在目标系统运行，Felismus通过注册WindowProc函数将自己伪装成Windows进程，允许窗口借助恶意软件的C2服务器秘密接受并处理消息，而所有这些活动均伪装成了正常活动。

　　因具备极其高超的伪装能力，从而能规避反病毒程序的检测，攻击者从而能够秘密执行命令，从这点来看，Felismus相当危险。

　　Felismus的模块化构造能隐藏自己，甚至拓展能力，因此攻击者能执行监控、破坏或窃取数据之类的活动。

　　不难看出，Felismus背后藏着“高手”。但这些“高手”具备掩盖活动痕迹的能力，这就意味着暂无人了解他们的身份或目标。从目前来看，暂时还有任何证据可以将这款木马与知名黑客组织关联起来。

　　研究人员提到一些有关攻击者身份的线索。这款恶意软件中出现的拼写错误表明，英语并不是他们的母语。

　　Felismus最近才被发现，据研究人员表称，这款木马似乎已活跃半年以上。

(责任编辑：宋编辑)