當前一些通過附加及捆綁在其它應用的惡意軟件，為了成功的安裝到用戶系統上，開始使用一種較為狡猾的方式來試圖欺騙用戶。

惡意軟件分析師 Dr.Web 在本月檢測到，惡意軟件 Ticno(Trojan.Ticno.1537)，這種木馬擁有非常強大的 防檢測 的特點。

Ticno 并不像那些常規的惡意軟件下載程序一樣，盲目的去監聽指令，并將 payload 安裝到受感染系統 。它具有掃描潛在主機系統的功能，并以此來確定受感染的計算機，到底是一個真實的 PC ，還是一個供安全研究人員用來掃描和分析惡意軟件的虛擬機 。

根據 Dr.Web 的研究分析發現，Ticno 會掃描以下這些進程：

• irise.exe
• IrisSvc.exe
• wireshark.exe
• ZxSniffer.exe
• Regshot.exe
• ollydbg.exe
• PEBrowseDbg.exe
• Syser.exe
• VBoxService.exe
• VBoxTray.exe
• SandboxieRpcSs.exe
• SandboxieDcomLaunch.exe
• windbg.exe
• ollydbg.exe
• vmtools.exe

此外，它還會對以下列舉的這些計算機注冊表項進行掃描：

• HKCU\Software\CommView
• HKLM\SYSTEM\CurrentControlSet\Services\IRIS5
• HKCU\Software\eEye Digital Security
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wireshark
• hklm\SOFTWARE\ZxSniffer
• HKCU\Software\Win Sniffer
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\APIS32
• HKCU\Software\Syser Soft
• hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
• HKLM\SYSTEM\CurrentControlSet\Services\VBoxGuest
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
• HKCU\Software\Classes\Folder\shell\sandbox
• HKCU\Software\Classes\*\shell\sandbox

如果這些檢查中超過三個以上成功匹配，Ticno 就會停止掃描動作，并會啟動一個 Windows Explorer 進程來作為誘餌 。

但是，如果這些檢查都沒問題的話，Ticno 就會向系統用戶彈出一個“另存為”的對話框，要求用戶將名為 1.zip 的文件保存到計算機上 。

Ticno 提示用戶，將文件保存到磁盤 [來源：Dr.Web]

在這里有經驗的用戶可能就會察覺到，這種無來源的未知安裝程序，可能會給自己的計算機帶來一定的風險。

但不幸的是，并不是所有用戶都有這么好的安全意識。通常情況下，他們都會隨手的就點擊保存按鈕。

其實如果你仔細的查看“另存為”彈窗的左下角，你就會發現那里有一串帶有鏈接的字“Additional settings(其它設置)”。我們點開鏈接看看，它的背后到底隱藏著什么 。

Ticno隱藏框 [來源：Dr.Web]

Ticno 用于廣告軟件和 Chrome 擴展程序推廣

Dr.Web 說這些打包為 Windows 軟件或 Chrome 擴展的壓縮包，其實里面包含的都是些廣告軟件的安裝選項 。一旦你安裝了它，就會在你的計算機上一次性安裝以下程序：Trojan.ChromePatch.1，Trojan.Ticno.1548，Trojan.BPlug.1590，Trojan.Triosir.718，Trojan.Clickmein.1 和 Adware.Plugin.1400 。

除了以上那些非法的應用程序，其中也包含著一些合法的應用程序。如 Amigo 瀏覽器 和 Mail.ru 開發的 HomeSearch@Mail.ru 也包括在內。這很可能是軟件聯盟安裝任務的一部分，Ticno 的作者從中應該也有不錯的收益 。

如果用戶沒有及時發現此鏈接，并將文件保存，“另存為”對話框將轉換為一個安裝程序 。

Ticno 開始安裝過程，并非文件下載 [來源：Dr.Web]