1月26日,江民反病毒中心率先截获特洛伊木马:密码大盗(TrojanSpyMimaThief.10),该木马假装是qq升等级的挂机工具,通过安装windows钩子和子类化IE服务器窗口(Internet Explorer_Server)来盗取用户在网页上输入的敏感信息。
江民反病毒专家介绍,病毒运行后,在感染计算机上释放下列四个文件:用来记录病毒原始目录的文件mmdat.dat ;病毒主程序intrenat.exe,以及钩子模块ntdll32.dll和记录用户输入数据的文件wdata32.dll。
病毒会修改注册表启动项,这样,在Windows启动时,病毒就可以自动执行。同时病毒还会修改注册表键值修改文件关联,使得用户打开任何exe文件,都会再次运行病毒程序。
病毒安装钩子模块,子类化IE服务器窗口(Internet Explorer_Server),当发现网页上有以下一些字符时开始记录用户输入信息,并将记录的用户信息发往指定邮箱。
|