作者:木淼鑫
【賽迪網-IT技術報道】系統原本關閉的自動播放功能突然莫名其妙的被打開,隱藏的系統文件也無法看到,這不是什麼系統故障,都是盜號木馬“瑪格尼亞”新變種Trojan/PSW.Magania.czi在搗鬼。
“瑪格尼亞”變種czi采用高級語言編寫,並且經過加殼保護處理。
“瑪格尼亞”變種czi運行後,會在被感染計算機系統的 “%SystemRoot%/”目錄下釋放惡意程序“1.exe”。該惡意程序運行後,又會自我復制到“%SystemRoot%/system32/” 目錄下並重新命名為“rttrwq.exe”。同時,還會在相同目錄中釋放惡意DLL組件“mkfght*.dll”,並設置上述文件的屬性為“系統、只讀、隱藏”。
“瑪格尼亞”變種czi是一個盜取“熱血江湖”、“十二之天 Online”、“ 冒險島Online”等網絡游戲賬號的木馬程序,運行後會在被感染計算機的後台秘密監視系統中運行的指定游戲進程。一旦發現這些進程的存在,便會通過鍵盤鉤子等手段盜取網絡游戲玩家的游戲賬號、游戲密碼、倉庫密碼等信息,並在後台將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上,致使游戲玩家的賬號、裝備、物品、金錢等丟失,給游戲玩家造成了不同程度的損失。
“瑪格尼亞”變種czi還可以通過U盤等移動存儲設備進行傳播,同時還會通過強行篡改注冊表鍵值的方式開啟計算機中所有驅動器的自動播放功能,以及破壞“顯示系統隱藏文件”的功能。
“瑪格尼亞”變種czi會通過在注冊表啟動項中添加鍵值“ertyuop”的方式來實現開機後的自動運行。