信息捕获木马
破坏文件快捷方式,以便可以在受其污染的PC上确认其执行。
可以理解,该木马会在桌面上搜寻已经指定的文件夹列表中扩展名为.lnk的快捷方式文件。此后,它将读取这些文件的目标,并将文件名更改为[original_name] .exe。完成此操作后,它会自我复制,并在相同的文件夹中使用它们原来的名称来命名副本,以便最终用户双击快捷方式时,重复的木马便开始运行。
同时,重复项带有执行新命名文件的指令,这些指令将在它们自己执行后执行,因此没有证据表明发生了劫持操作并将其掩盖了。
通常用户看不到.lnk文件目标的替换,从而长时间无法检测到该木马。Softpedia.com于2010年12月14日对此进行了报道。
该木马在内存中处于活动状态时,会监视浏览会话以查找用户是否登录了特定的网站,例如Google,PayPal,MSN和Yahoo。如果用户登录这些网站中的任何一个,特洛伊木马程序将捕获登录详细信息并将其传输到其远程控制器。为此,它使用某些JavaScript代码,该代码收集诸如用户名,密码以及现有网站之类的详细信息,然后将其传输到特定的基于中国的计算机服务器上。
目标网页通常属于中文网站-tudou.com,youku.com,soho.com和sogou.com。
此外,它在博客上发布了用于编写特洛伊木马的语言是Visual Basic,并且该恶意软件没有打包也没有伪装。Techblog.avira.com于2010年12月14日发布了此内容。
最终,Avira的发现再次证实了另一家安全公司AhnLab在2010年11月发现的内容。当月,AhnLab确定PC Trojan 是最流行的恶意软件程序,占所有恶意软件的46.1%。因此,它们是对互联网上任何人的安全的最大威胁。
文章来源:http://www.spamfighter.com/News-15540-Avira-Finds-Fresh-Information-Capturing-Trojan.htm