典型间谍木马-Win32.Troj.Agent.km.52224
赛迪网 ◎ 2008-08-06 安全在线
这个木马没有固定的文件名,它进入系统后,就把自己复制到%WINDOWS%\system32\目录下,名字随机生成,并删除原始文件。然后就修改注册表,将自己设置为开机自启动。
病毒运行起来后,会注入桌面进程explorer.exe,隐蔽运行,并连接病毒作者指定的地址6*.2*.1*8.221,下载最新版本的自己,实现更新,然后就开始作案。
它对用户最大的威胁,在于它能够读取IE的缓存,记录用户的网页浏览记录,以及用户使用msn、google、yahoo、aol、icq等搜索引擎时所 输入的关键词记录。同时,它还会检查用户使用的浏览器是哪种。毒霸反病毒工程师猜测,当这些数据被发送到病毒作者手中,可能会被用于统计用户的上网习惯, 以帮助病毒作者有针对性的开发广告木马。
另外,此木马有个特点,就是病毒作者能够给它指定发作地区。它检查系统中ControlPanel\International的键值iCountry、 Nation,判断当前电脑的所在国家,如果发现是病毒作者指定的国家,就立即运行,如果不是,则沉默等待。毒霸反病毒工程师认为,这是病毒作者实现"精 确攻击"的办法,这使得他们能获取最准确的某区域用户信息。
关于该病毒的详细分析报告,请点击:Win32.Troj.Agent.km.52224木马病毒分析http://security.ccidnet.com/art/1102/20080805/1533833_1.html
- 相关文章
-
- 瑞星08月05日发布 每日计算机病毒及木马播报2008-08-05 11:32:24
- 北京网络行业协会、江民科技联发05日病毒播报2008-08-05 11:29:21
- DNS变色龙躲避安软查杀导致无法连接网络2008-08-05 11:26:29
- “桌面幽灵”奇袭互联网 综合磁碟机等多种病毒特征2008-08-05 11:22:12
- 卡巴斯基2008年7月28日至8月3日周病毒播报2008-08-05 09:11:06
- 本周安全预警: 机器狗奥运前夕重出江湖2008-08-05 09:06:43
- "威金"后台盗号 代理木马利用联众漏洞传播2008-08-05 09:04:32
- 安德夫木马变种KES下载病毒 威胁计算机安全2008-08-05 09:01:58
发表评论