近期,多款盗号木马、恶意广告纷纷变身图片格式,诱惑用户点击,伺机传播,这次的元凶是“毒包”木马家族中的***成员TrojanDownloader.CodecPack.i“毒包”变种i。
“毒包”变种i采用“Microsoft Visual C++ 0”编写,经过加壳保护处理。
“毒包”变种i为了提高其隐蔽性,在注册表创建“HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox”项,将加密后的木马配置信息保存至其中。而这些配置信息中包含有其它恶意程序的下载地址,“毒包”变种i会根据这些下载地址在被感染计算机系统的后台下载恶意程序并自动调用运行。
为了让这些恶意程序更容易被传播,“毒包”变种i把他们都伪装成了图片格式文件。如果用户迷惑于这些精美的图片,想要点击打开,那么潜藏在图片背后的网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,就会悄无声息的感染计算机用户。使得计算机用户面临更多不同程度的风险,极大地降低了被感染系统的安全性。
“毒包”变种i在被感染系统注册表启动项中添加了键值“MSFox”,并以此实现木马的开机自启。