賽門鐵克中國安全回應中心表示最近,一些木馬利用社交網站論壇傳送控制命令並接收執行後的回饋資訊。由於這些包含控制命令的訊息與大量的合法訊息混在一起,識別與攔截這些包含控制命令的訊息會比較困難。
Trojan.Grups就是這樣一種木馬程式,它利用Google網路論壇來傳送控制命令,然後在被感染的電腦中開啟後門,並將該木馬在被感染電腦上執行後的回饋資訊再發送到Google網路論壇。攻擊者通過這樣的方式來控制該木馬的執行並且讀取執行後的回饋資訊。
Trojan.Grups通常以.dll的形式來到使用者機器,當被rundll32.exe運行時將首先連結到Google網上論壇的登錄頁面,用自帶的使用者名稱和密碼登錄。登錄成功後,將連接到一個私人論壇,在該論壇請求一個頁面,這一頁面中包含控制木馬執行的命令。當收到此頁面後,木馬就會執行網頁中加密的命令。執行後的回饋資訊將通過HTTP POST發送到指定功能變數名稱。