天下网吧 >> 网吧天地 >> 网吧行业 >> 网络追踪 >> 正文

百锐:警惕伪装输入法的盗号木马

  

  近日ByteHero百锐BSD1.0检测到一种新型的盗号木马TD.PSW.W32.OLG.da(伪装输入法木马)。该木马十分隐蔽,当用户访问挂马网页,执行其恶意代码,访问内置网址下载盗号木马,盗取用户各种账号密码。目前多款杀毒软件尚未能查杀该木马。

  ByteHero百锐信息安全技术团队的反病毒工程师介绍,通过网页挂马进行盗号这种方式由来已久,该木马之所以能够使多种杀毒软件无法检测出,主要是其将自身伪装成sogou输入法,十分隐蔽。该木马主要通过网页挂马方式传播。以下是在国内某知名媒体站点截获该木马样本的行为分析: 

  b.exe 运行后链接内置地址下载各种小木马。

  1、%Temp%\zx2.exe

  2、%Temp%\elementzx.dll - 安装消息钩子,截取密码

  3、%Temp%\mh.exe

  4、删除自身b.exe

  5、创建名为的"WLmhzx"互斥体,防止程序二次运行;

  遍历进程查找gameclient.exe并发送退出消息关闭游戏进程。

  6、比较自身是否为gameclien.exe,如果不是则将自身拷贝到%Program Files%\WLmhzx\gameclien.exe;

  7、创建%SystemRoot%\system32\mhzxin.bat批处理文件,内容为:regedit.exe /s mhzx.reg

  8、导入注册表,修改原有数据,内容如下:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}]

  "StubPath"="C: \\WINDOWS\\system32\\mhzx.bat"

  [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{12345678-b1gf-14d0-89bb-0090ce808666}]

  9 、释放病毒文件%SystemRoot%\system32\sougou.ime

  10、sougon.ime 为网络游戏盗号程序,设置消息钩子,监视用户帐户密码等角色信息,发送到指定地址。

  11 同时下载会 jietu.exe es.exe,用于保护自身进程。

  ByteHero百锐信息安全实验室提醒广大网友,知名网站也有被挂马的可能,建议使用ByteHero百锐金盾BSD1.0保护您的数据安全。

  免费下载百锐金盾:

  官网下载:http://www.bytehero.com/download.asp

  华军下载http://www.newhua.com/soft/46056.htm

 

 

本文来源:华军资讯 作者:厂商投递

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行