Trojan/Pincav.guy“惡推客”變種guy是“惡推客”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,經(jīng)過加殼保護(hù)處理。“惡推客”變種guy運(yùn)行后,會在被感染系統(tǒng)的“%USERPROFILE%Local SettingsTemp”文件夾下釋放惡意DLL組件“kb1021.bin”,然后將其復(fù)制到“%SystemRoot%system”文件夾下重新命名為“kb1021.dla”。其會將“%SystemRoot%system32dsound.dll”重新命名為“dsound.dll.dat”,并且向其中寫入惡意代碼。調(diào)用系統(tǒng)DLL組件“sfc_os.dll”中的5號函數(shù),以此關(guān)閉Windows文件保護(hù)功能。之后,其會將“%SystemRoot%system32”文件夾下的“dsound.dll”重新命名為“dsound.dll.NGFL”,然后將“dsound.dll.dat”復(fù)制到“%SystemRoot%system”和“%SystemRoot%system32”文件夾下,重新命名為“dsound.dll”。釋放完成后,原病毒程序會釋放批處理程序廣州做網(wǎng)站公司并調(diào)用運(yùn)行,以此將自身刪除。“惡推客”變種guy運(yùn)行時(shí),會在被感染系統(tǒng)的后臺遍歷當(dāng)前正在運(yùn)行的所有進(jìn)程,如果發(fā)現(xiàn)指定安全軟件存在,便會嘗試將其強(qiáng)行關(guān)閉,以此達(dá)到自番禺網(wǎng)站設(shè)計(jì)我保護(hù)的目的。“惡推客”變種guy是一個(gè)專門盜取“反恐精英Online”網(wǎng)絡(luò)游戲會員賬號的木馬程序,其會秘密監(jiān)視系統(tǒng)中所運(yùn)行程序的窗口標(biāo)題。一旦發(fā)現(xiàn)指定程序啟動(dòng),便會利用鍵盤鉤子、內(nèi)存截取或封包截取番禺網(wǎng)頁設(shè)計(jì)等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息,并在后臺將竊得的信息發(fā)送到駭客指定的遠(yuǎn)程站點(diǎn)上(地址加密存放),致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備、物品、金錢等丟失,從而給游戲玩家造成了番禺做網(wǎng)站公司不同程度的損失。
粵公網(wǎng)安備44011302004697
