信息捕获木马运行操作思路

Posted 2020-12-20 gouwa

信息捕获木马

破坏文件快捷方式，以便可以在受其污染的PC上确认其执行。

可以理解，该木马会在桌面上搜寻已经指定的文件夹列表中扩展名为.lnk的快捷方式文件。此后，它将读取这些文件的目标，并将文件名更改为[original_name] .exe。完成此操作后，它会自我复制，并在相同的文件夹中使用它们原来的名称来命名副本，以便最终用户双击快捷方式时，重复的木马便开始运行。

同时，重复项带有执行新命名文件的指令，这些指令将在它们自己执行后执行，因此没有证据表明发生了劫持操作并将其掩盖了。

通常用户看不到.lnk文件目标的替换，从而长时间无法检测到该木马。Softpedia.com于2010年12月14日对此进行了报道。

该木马在内存中处于活动状态时，会监视浏览会话以查找用户是否登录了特定的网站，例如Google，PayPal，MSN和Yahoo。如果用户登录这些网站中的任何一个，特洛伊木马程序将捕获登录详细信息并将其传输到其远程控制器。为此，它使用某些javascript代码，该代码收集诸如用户名，密码以及现有网站之类的详细信息，然后将其传输到特定的基于中国的计算机服务器上。

目标网页通常属于中文网站-tudou.com，youku.com，soho.com和sogou.com。

此外，它在博客上发布了用于编写特洛伊木马的语言是Visual Basic，并且该恶意软件没有打包也没有伪装。Techblog.avira.com于2010年12月14日发布了此内容。

最终，Avira的发现再次证实了另一家安全公司AhnLab在2010年11月发现的内容。当月，AhnLab确定PC Trojan 是最流行的恶意软件程序，占所有恶意软件的46.1％。因此，它们是对互联网上任何人的安全的最大威胁。

文章来源：http://www.spamfighter.com/News-15540-Avira-Finds-Fresh-Information-Capturing-Trojan.htm