日前“橘色诱惑”木马家族出了一名新成员——Trojan/Chifrax.ge“橘色诱惑”变种ge。
Trojan/Chifrax.ge“橘色诱惑”变种ge采用SFX自解压格式存储,是一个捆绑了某黑客软件的木马程序。
“橘色诱惑”变种ge运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下自动解压出黑客工具和灰鸽子远程控制木马并同时调用运行。
木马运行后,会自我复制到“%SystemRoot%\”目录下并重新命名为“G_Server2007.exe”。在相同目录下释放恶意DLL组件“G_Server2007.DLL”,并将其插入到“explorer.exe”及其所有用户级权限的进程中加载运行,以此达到保护木马进程不被轻易结束的目的。
“橘色诱惑”变种ge创建“iexplore.exe”进程,并将恶意代码注入其中隐蔽运行。同时,还会利用“Rootkit”技术对自身进程、文件以及相关注册表项进行更深层次的隐藏,不仅提高了木马的生存几率,也为病毒的查杀带来了干扰。
该木马会在被感染计算机后台不断尝试与控制端(IP地址为:123.52.***.174:8000)进行连接,从而致使被感染计算机沦为骇客的傀儡主机。骇客可以向被感染计算机发送任意指令,执行任意操作,其中包括文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、视频监控等,对被感染计算机用户的个人隐私甚至是商业机密构成严重的威胁。骇客还可以向傀儡主机发送大量的恶意程序,致使用户面临更多不同程度的威胁。
另外,该远程控制木马会在被感染计算机系统中注册名为“ServerGrayPigeon2007”的系统服务,以此实现开机后的自动运行。
【编辑推荐】
- “橘色诱惑”病毒伪装成正常程序授权文件诱人点击
- 灰鸽子病毒——网络神偷之后应用最广的反弹端口木马
- “灰鸽子”和网络黑帮
- U盘病毒再现网络 灰鸽子使用新“道具”
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/136796.html<
