病毒“橘色誘惑”新變種勾結(jié)灰鴿子作惡
日前“橘色誘惑”木馬家族出了一名新成員——Trojan/Chifrax.ge“橘色誘惑”變種ge。
Trojan/Chifrax.ge“橘色誘惑”變種ge采用SFX自解壓格式存儲(chǔ),是一個(gè)捆綁了某黑客軟件的木馬程序。
“橘色誘惑”變種ge運(yùn)行后,會(huì)在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\”目錄下自動(dòng)解壓出黑客工具和灰鴿子遠(yuǎn)程控制木馬并同時(shí)調(diào)用運(yùn)行。
木馬運(yùn)行后,會(huì)自我復(fù)制到“%SystemRoot%\”目錄下并重新命名為“G_Server2007.exe”。在相同目錄下釋放惡意DLL組件“G_Server2007.DLL”,并將其插入到“explorer.exe”及其所有用戶級(jí)權(quán)限的進(jìn)程中加載運(yùn)行,以此達(dá)到保護(hù)木馬進(jìn)程不被輕易結(jié)束的目的。
“橘色誘惑”變種ge創(chuàng)建“iexplore.exe”進(jìn)程,并將惡意代碼注入其中隱蔽運(yùn)行。同時(shí),還會(huì)利用“Rootkit”技術(shù)對(duì)自身進(jìn)程、文件以及相關(guān)注冊(cè)表項(xiàng)進(jìn)行更深層次的隱藏,不僅提高了木馬的生存幾率,也為病毒的查殺帶來(lái)了干擾。
該木馬會(huì)在被感染計(jì)算機(jī)后臺(tái)不斷嘗試與控制端(IP地址為:123.52.***.174:8000)進(jìn)行連接,從而致使被感染計(jì)算機(jī)淪為駭客的傀儡主機(jī)。駭客可以向被感染計(jì)算機(jī)發(fā)送任意指令,執(zhí)行任意操作,其中包括文件管理、進(jìn)程控制、注冊(cè)表操作、遠(yuǎn)程命令執(zhí)行、屏幕監(jiān)控、鍵盤(pán)監(jiān)聽(tīng)、視頻監(jiān)控等,對(duì)被感染計(jì)算機(jī)用戶的個(gè)人隱私甚至是商業(yè)機(jī)密構(gòu)成嚴(yán)重的威脅。駭客還可以向傀儡主機(jī)發(fā)送大量的惡意程序,致使用戶面臨更多不同程度的威脅。
另外,該遠(yuǎn)程控制木馬會(huì)在被感染計(jì)算機(jī)系統(tǒng)中注冊(cè)名為“ServerGrayPigeon2007”的系統(tǒng)服務(wù),以此實(shí)現(xiàn)開(kāi)機(jī)后的自動(dòng)運(yùn)行。
【編輯推薦】
