本周新木马 偷钱、窃取密码无恶不作


Banker.HIK属于传播得越来越广泛的“banker Trojan”这类恶意软件中的一类。它是专门用来窃取线上应用的信息的,主要是窃取那些巴西银行用户的信息,比如Banco do Brasil或者CEF。它会显示虚假的页面,诱骗用户输入银行信息,一旦用户输入了信息,木马就可以自由利用这些信息了。

Banker.HIK还能够监控特定网页的信息传输,以便获取更多的用户数据。该木马会将自己复制到系统的“开始”菜单的启动栏中,这样每次计算机启动后,该木马就会运行起来。Banker.HIK的一个伎俩就是显示“Socket Error # 11004”消息,所以用户可以根据这一点来发现该木马。

报告中的第二种木马叫做Wsnpoem.AW,它也能窃取用户密码。该恶意代码会删除计算机上的所有Cookies,这样就迫使用户不得不重新在地址栏中输入要访问的地址。

Wsnpoem.AW也会在注册表和开始菜单中修改或者创建相关的文件,这样每当计算机启动,该木马就会自动运行。该木马会创建“__SYSTEM__64AD0625__”mutex互斥量,这是一种内存中的进程,它将禁止2个复件同时运行。

Dadlam.A是本周病毒报告中的另一木马。该木马是一种按键记录木马,它对用户造成的威胁较轻。该木马用视频图标隐藏自己,并显示带有色情信息的视频内容以便欺骗用户。另外,Dadlam.A能够修改boot.ini文件并创建一个任务计划,让计算机在6点的时候重启。

Dadlam.A的主要威胁表现在它能够向被害计算机中引进两种恶意程序。第一种叫做IRCbot.ASM,这是一种后门木马,它会扫描所有的计算机端口,找出最容易侵入的一个。第二中叫做Downloader.OBW,它会往受害计算机中下载其他恶意软件。

Dadlam.A不能自己传播,它需要通过用户的参与从而通过正常渠道进入计算机,包括由另一恶意软件下载到计算机中或者通过恶意网页下载到计算机中。

=============================================

参考文章:《This week's trojans: Banker.HIK, Wsnpoem.AW and Dadlam.A》

相关内容