作者:木淼鑫
【赛迪网-IT技术报道】近期你的电脑里有否出现“Backdoor/Delf”后门家族新成员Backdoor/Delf.jkt的身影?如果答案是肯定的,那么小心,你的电脑很可能已经成为了骇客的肉鸡 。
“Backdoor/Delf”变种jkt采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理 。
“Backdoor/Delf”变种jkt运行后,会自我复制到被感染计算机系统的 “%SystemRoot%/system32/”目录下,并分别重新命名为“sys_temtray.exe”、“sys_temtray.jpg”和 “sys_temtray.txt” 。同时,还会在该目录下释放恶意DLL组件“hz_sys_temtray.dll”和“keyHook.dll” 。“Backdoor/Delf”变种jkt运行时,会将释放的恶意DLL组件插入到被感染计算机系统的“spoolsv.exe”进程中隐密运行,以此隐藏自我,防止被轻易地查杀 。
“Backdoor/Delf”变种jkt会在被感染计算机系统的后台不断尝试与控制端(IP地址为:123.186.*.28:8760)进行连接,一旦连接成功,则被感染计算机便会沦为骇客的傀儡主机 。骇客通过该后门可以向被感染计算机发送任意指令,从而执行恶意控制操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、视频监控等,会给被感染计算机用户的个人隐私,甚至是商业机密等造成不同程度的损失 。
同时,骇客还可以向被感染计算机发送大量的病毒、木马、流氓软件等恶意程序,从而致使用户面临更加严重的威胁 。该后门还可以进行自我更新,从而更好的躲避查杀,提高了自身的生存几率 。
另外,“Backdoor/Delf”变种jkt会在被感染计算机中注册名为“WinServerVIEwee”的系统服务,以此实现后门程序的开机自启 。
作者:木淼鑫
【赛迪网-IT技术报道】系统原本关闭的自动播放功能突然莫名其妙的被打开,隐藏的系统文件也无法看到,这不是什么系统故障,都是盗号木马“玛格尼亚”新变种Trojan/PSW.Magania.czi在捣鬼 。
“玛格尼亚”变种czi采用高级语言编写,并且经过加壳保护处理 。
“玛格尼亚”变种czi运行后,会在被感染计算机系统的 “%SystemRoot%/”目录下释放恶意程序“1.exe” 。该恶意程序运行后,又会自我复制到“%SystemRoot%/system32/” 目录下并重新命名为“rttrwq.exe” 。同时,还会在相同目录中释放恶意DLL组件“mkfght*.dll”,并设置上述文件的属性为“系统、只读、隐藏” 。
“玛格尼亚”变种czi是一个盗取“热血江湖”、“十二之天Online”、“ 冒险岛Online”等网络游戏账号的木马程序,运行后会在被感染计算机的后台秘密监视系统中运行的指定游戏进程 。一旦发现这些进程的存在,便会通过键盘钩子等手段盗取网络游戏玩家的游戏账号、游戏密码、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使游戏玩家的账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失 。
“玛格尼亚”变种czi还可以通过U盘等移动存储设备进行传播,同时还会通过强行篡改注册表键值的方式开启计算机中所有驱动器的自动播放功能,以及破坏“显示系统隐藏文件”的功能 。
“玛格尼亚”变种czi会通过在注册表启动项中添加键值“ertyuop”的方式来实现开机后的自动运行 。
【警惕Backdoor新变种 别让你的电脑成肉鸡】
推荐阅读
- “菠萝穴”木马新变种竟是黑防专版灰鸽子
- “热血江湖”网游用户警惕“毒吗啡”木马
- 猕猴桃园要警惕高温伤害
- 手工三步查杀Javqhc木马最新变种
- 江民24日病毒播报:警惕“性感相册”和“砸波”变种
- 伪装微软版权文件 恶意木马程序新变种出没
- 玉米苗期需警惕粗缩病
- “木马下载器”病毒出现新变种
- 小心"千足虫","霸E族"又出新变种
- 设施蔬菜警惕三种小虫捣乱