萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 警惕Backdoor新變種 別讓你的電腦成肉雞

警惕Backdoor新變種 別讓你的電腦成肉雞

  作者:木淼鑫

  【賽迪網-IT技術報道】近期你的電腦裡有否出現“Backdoor/Delf”後門家族新成員Backdoor/Delf.jkt的身影?如果答案是肯定的,那麼小心,你的電腦很可能已經成為了駭客的肉雞。

  “Backdoor/Delf”變種jkt采用“Borland Delphi 6.0 - 7.0”編寫,並且經過加殼保護處理。

  “Backdoor/Delf”變種jkt運行後,會自我復制到被感染計算機系統的 “%SystemRoot%/system32/”目錄下,並分別重新命名為“sys_temtray.exe”、“sys_temtray.jpg”和 “sys_temtray.txt”。同時,還會在該目錄下釋放惡意DLL組件“hz_sys_temtray.dll”和“keyHook.dll”。 “Backdoor/Delf”變種jkt運行時,會將釋放的惡意DLL組件插入到被感染計算機系統的“spoolsv.exe”進程中隱密運行,以此隱藏自我,防止被輕易地查殺。

  “Backdoor/Delf”變種jkt會在被感染計算機系統的後台不斷嘗試與控制端(IP地址為:123.186.*.28:8760)進行連接,一旦連接成功,則被感染計算機便會淪為駭客的傀儡主機。駭客通過該後門可以向被感染計算機發送任意指令,從而執行惡意控制操作,其中包括:文件管理、進程控制、注冊表操作、遠程命令執行、屏幕監控、鍵盤監聽、鼠標控制、視頻監控等,會給被感染計算機用戶的個人隱私,甚至是商業機密等造成不同程度的損失。

  同時,駭客還可以向被感染計算機發送大量的病毒、木馬、流氓軟件等惡意程序,從而致使用戶面臨更加嚴重的威脅。該後門還可以進行自我更新,從而更好的躲避查殺,提高了自身的生存幾率。

  另外,“Backdoor/Delf”變種jkt會在被感染計算機中注冊名為“WinServerVIEwee”的系統服務,以此實現後門程序的開機自啟。

  

  作者:木淼鑫

  【賽迪網-IT技術報道】系統原本關閉的自動播放功能突然莫名其妙的被打開,隱藏的系統文件也無法看到,這不是什麼系統故障,都是盜號木馬“瑪格尼亞”新變種Trojan/PSW.Magania.czi在搗鬼。

  “瑪格尼亞”變種czi采用高級語言編寫,並且經過加殼保護處理。

  “瑪格尼亞”變種czi運行後,會在被感染計算機系統的 “%SystemRoot%/”目錄下釋放惡意程序“1.exe”。該惡意程序運行後,又會自我復制到“%SystemRoot%/system32/” 目錄下並重新命名為“rttrwq.exe”。同時,還會在相同目錄中釋放惡意DLL組件“mkfght*.dll”,並設置上述文件的屬性為“系統、只讀、隱藏”。

  “瑪格尼亞”變種czi是一個盜取“熱血江湖”、“十二之天Online”、“ 冒險島Online”等網絡游戲賬號的木馬程序,運行後會在被感染計算機的後台秘密監視系統中運行的指定游戲進程。一旦發現這些進程的存在,便會通過鍵盤鉤子等手段盜取網絡游戲玩家的游戲賬號、游戲密碼、倉庫密碼等信息,並在後台將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上,致使游戲玩家的賬號、裝備、物品、金錢等丟失,給游戲玩家造成了不同程度的損失。

  “瑪格尼亞”變種czi還可以通過U盤等移動存儲設備進行傳播,同時還會通過強行篡改注冊表鍵值的方式開啟計算機中所有驅動器的自動播放功能,以及破壞“顯示系統隱藏文件”的功能。

  “瑪格尼亞”變種czi會通過在注冊表啟動項中添加鍵值“ertyuop”的方式來實現開機後的自動運行。

  

copyright © 萬盛學電腦網 all rights reserved