百锐:警惕伪装输入法的盗号木马
近日ByteHero百锐BSD1.0检测到一种新型的盗号木马TD.PSW.W32.OLG.da(伪装输入法木马)。该木马十分隐蔽,当用户访问挂马网页,执行其恶意代码,访问内置网址下载盗号木马,盗取用户各种账号密码。目前多款杀毒软件尚未能查杀该木马。ByteHero百锐信息安全技术团队的反病毒工程师介绍,通过网页挂马进行盗号这种方式由来已久,该木马之所以能够使多种杀毒软件无法检测出,主要是其将自身伪装成sogou输入法,十分隐蔽。该木马主要通过网页挂马方式传播。以下是在国内某知名媒体站点截获该木马样本的行为分析: http://image.techweb.com.cn/2010/04/19/img20100412716641360.jpg
b.exe 运行后链接内置地址下载各种小木马。
1、%Temp%\zx2.exe
2、%Temp%\elementzx.dll - 安装消息钩子,截取密码
3、%Temp%\mh.exe
4、删除自身b.exe
5、创建名为的"WLmhzx"互斥体,防止程序二次运行;
遍历进程查找gameclient.exe并发送退出消息关闭游戏进程。
6、比较自身是否为gameclien.exe,如果不是则将自身拷贝到%Program Files%\WLmhzx\gameclien.exe;
7、创建%SystemRoot%\system32\mhzxin.bat批处理文件,内容为:regedit.exe /s mhzx.reg
8、导入注册表,修改原有数据,内容如下:
Windows Registry Editor Version 5.00
"StubPath"="C: \\WINDOWS\\system32\\mhzx.bat"
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}]
9 、释放病毒文件%SystemRoot%\system32\sougou.ime
10、sougon.ime 为网络游戏盗号程序,设置消息钩子,监视用户帐户密码等角色信息,发送到指定地址。
11 同时下载会 jietu.exe es.exe,用于保护自身进程。
ByteHero百锐信息安全实验室提醒广大网友,知名网站也有被挂马的可能,建议使用ByteHero百锐金盾BSD1.0保护您的数据安全。近日ByteHero百锐BSD1.0检测到一种新型的盗号木马TD.PSW.W32.OLG.da(伪装输入法木马)。该木马十分隐蔽,当用户访问挂马网页,执行其恶意代码,访问内置网址下载盗号木马,盗取用户各种账号密码。目前多款杀毒软件尚未能查杀该木马。
ByteHero百锐信息安全技术团队的反病毒工程师介绍,通过网页挂马进行盗号这种方式由来已久,该木马之所以能够使多种杀毒软件无法检测出,主要是其将自身伪装成sogou输入法,十分隐蔽。该木马主要通过网页挂马方式传播。以下是在国内某知名媒体站点截获该木马样本的行为分析: http://image.techweb.com.cn/2010/04/19/img20100412716641360.jpg
b.exe 运行后链接内置地址下载各种小木马。
1、%Temp%\zx2.exe
2、%Temp%\elementzx.dll - 安装消息钩子,截取密码
3、%Temp%\mh.exe
4、删除自身b.exe
5、创建名为的"WLmhzx"互斥体,防止程序二次运行;
遍历进程查找gameclient.exe并发送退出消息关闭游戏进程。
6、比较自身是否为gameclien.exe,如果不是则将自身拷贝到%Program Files%\WLmhzx\gameclien.exe;
7、创建%SystemRoot%\system32\mhzxin.bat批处理文件,内容为:regedit.exe /s mhzx.reg
8、导入注册表,修改原有数据,内容如下:
Windows Registry Editor Version 5.00
"StubPath"="C: \\WINDOWS\\system32\\mhzx.bat"
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}]
9 、释放病毒文件%SystemRoot%\system32\sougou.ime
10、sougon.ime 为网络游戏盗号程序,设置消息钩子,监视用户帐户密码等角色信息,发送到指定地址。
11 同时下载会 jietu.exe es.exe,用于保护自身进程。
ByteHero百锐信息安全实验室提醒广大网友,知名网站也有被挂马的可能,建议使用ByteHero百锐金盾BSD1.0保护您的数据安全。
页:
[1]