歡迎鎖定資料救援中心公佈的最新消息,我們將不定期做更新.
【賽迪網-IT技術報道】這個木馬沒有固定的文件名,它進入系統後,就把自己複製到%WINDOWS%/system32/目錄下,名字隨機生成,並刪除原始文件。然後就修改註冊表,將自己設置為開機自啟動。
病毒運行起來後,會注入桌面進程explorer.exe,隱蔽運行,並連接病毒作者指定的地址6*.2*.1*8.221,下載最新版本的自己,實現更新,然後就開始作案。
它對用戶最大的威脅,在於它能夠讀取IE的緩存,記錄用戶的網頁瀏覽記錄,以及用戶使用msn、google、yahoo、aol、icq等搜索引擎時所 輸入的關鍵詞記錄。同時,它還會檢查用戶使用的瀏覽器是哪種。毒霸反病毒工程師猜測,當這些資料被發送到病毒作者手中,可能會被用於統計用戶的上網習慣, 以幫助病毒作者有針對性的開發廣告木馬。
另外,此木馬有個特點,就是病毒作者能夠給它指定發作地區。它檢查系統中ControlPanel/International的鍵值iCountry、 Nation,判斷當前電腦的所在國家,如果發現是病毒作者指定的國家,就立即運行,如果不是,則沉默等待。毒霸反病毒工程師認為,這是病毒作者實現「精 確攻擊」的辦法,這使得他們能獲取最準確的某區域用戶信息。
關於該病毒的詳細分析報告,請點擊:Win32.Troj.Agent.km.52224木馬病毒分析
(