百锐：警惕伪装输入法的盗号木马

近日ByteHero百锐BSD1.0检测到一种新型的盗号木马TD.PSW.W32.OLG.da(伪装输入法木马)。该木马十分隐蔽，当用户访问挂马网页，执行其恶意代码，访问内置网址下载盗号木马，盗取用户各种账号密码。目前多款杀毒软件尚未能查杀该木马。
　　ByteHero百锐信息安全技术团队的反病毒工程师介绍，通过网页挂马进行盗号这种方式由来已久，该木马之所以能够使多种杀毒软件无法检测出，主要是其将自身伪装成sogou输入法，十分隐蔽。该木马主要通过网页挂马方式传播。以下是在国内某知名媒体站点截获该木马样本的行为分析：　
　　b.exe 运行后链接内置地址下载各种小木马。
　　1、%Temp%\zx2.exe
　　2、%Temp%\elementzx.dll - 安装消息钩子，截取密码
　　3、%Temp%\mh.exe
　　4、删除自身b.exe
　　5、创建名为的"WLmhzx"互斥体，防止程序二次运行;
　　遍历进程查找gameclient.exe并发送退出消息关闭游戏进程。
　　6、比较自身是否为gameclien.exe，如果不是则将自身拷贝到%Program Files%\WLmhzx\gameclien.exe;
　　7、创建%SystemRoot%\system32\mhzxin.bat批处理文件，内容为：regedit.exe /s mhzx.reg
　　8、导入注册表，修改原有数据，内容如下：
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}]
　　"StubPath"="C: \\WINDOWS\\system32\\mhzx.bat"
　　[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}]
　　9 、释放病毒文件%SystemRoot%\system32\sougou.ime
　　10、sougon.ime 为网络游戏盗号程序，设置消息钩子，监视用户帐户密码等角色信息，发送到指定地址。
　　11 同时下载会 jietu.exe es.exe，用于保护自身进程。
　　ByteHero百锐信息安全实验室提醒广大网友，知名网站也有被挂马的可能，建议使用ByteHero百锐金盾BSD1.0保护您的数据安全。近日ByteHero百锐BSD1.0检测到一种新型的盗号木马TD.PSW.W32.OLG.da(伪装输入法木马)。该木马十分隐蔽，当用户访问挂马网页，执行其恶意代码，访问内置网址下载盗号木马，盗取用户各种账号密码。目前多款杀毒软件尚未能查杀该木马。
　　ByteHero百锐信息安全技术团队的反病毒工程师介绍，通过网页挂马进行盗号这种方式由来已久，该木马之所以能够使多种杀毒软件无法检测出，主要是其将自身伪装成sogou输入法，十分隐蔽。该木马主要通过网页挂马方式传播。以下是在国内某知名媒体站点截获该木马样本的行为分析：　
　　b.exe 运行后链接内置地址下载各种小木马。
　　1、%Temp%\zx2.exe
　　2、%Temp%\elementzx.dll - 安装消息钩子，截取密码
　　3、%Temp%\mh.exe
　　4、删除自身b.exe
　　5、创建名为的"WLmhzx"互斥体，防止程序二次运行;
　　遍历进程查找gameclient.exe并发送退出消息关闭游戏进程。
　　6、比较自身是否为gameclien.exe，如果不是则将自身拷贝到%Program Files%\WLmhzx\gameclien.exe;
　　7、创建%SystemRoot%\system32\mhzxin.bat批处理文件，内容为：regedit.exe /s mhzx.reg
　　8、导入注册表，修改原有数据，内容如下：
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}]
　　"StubPath"="C: \\WINDOWS\\system32\\mhzx.bat"
　　[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}]
　　9 、释放病毒文件%SystemRoot%\system32\sougou.ime
　　10、sougon.ime 为网络游戏盗号程序，设置消息钩子，监视用户帐户密码等角色信息，发送到指定地址。
　　11 同时下载会 jietu.exe es.exe，用于保护自身进程。
　　ByteHero百锐信息安全实验室提醒广大网友，知名网站也有被挂马的可能，建议使用ByteHero百锐金盾BSD1.0保护您的数据安全。