日前“橘色诱惑”木马家族出了一名新成员——Trojan/Chifrax.ge“橘色诱惑”变种ge。
Trojan/Chifrax.ge“橘色诱惑”变种ge采用SFX自解压格式存储,是一个捆绑了某黑客软件的木马程序。
“橘色诱惑”变种ge运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下自动解压出黑客工具和灰鸽子远程控制木马并同时调用运行。
木马运行后,会自我复制到“%SystemRoot%\”目录下并重新命名为“G_Server2007.exe”。在相同目录下释放恶意DLL组件“G_Server2007.DLL”,并将其插入到“explorer.exe”及其所有用户级权限的进程中加载运行,以此达到保护木马进程不被轻易结束的目的。
“橘色诱惑”变种ge创建“iexplore.exe”进程,并将恶意代码注入其中隐蔽运行。同时,还会利用“Rootkit”技术对自身进程、文件以及相关注册表项进行更深层次的隐藏,不仅提高了木马的生存几率,也为病毒的查杀带来了干扰。
该木马会在被感染计算机后台不断尝试与控制端(IP地址为:123.52.***.174:8000)进行连接,从而致使被感染计算机沦为骇客的傀儡主机。骇客可以向被感染计算机发送任意指令,执行任意操作,其中包括文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、视频监控等,对被感染计算机用户的个人隐私甚至是商业机密构成严重的威胁。骇客还可以向傀儡主机发送大量的恶意程序,致使用户面临更多不同程度的威胁。
另外,该远程控制木马会在被感染计算机系统中注册名为“ServerGrayPigeon2007”的系统服务,以此实现开机后的自动运行。
【编辑推荐】