近期,一批盗号木马和恶意广告被转化为图片格式,诱惑用户点击,伺机传播。这一次,罪魁祸首是TrojanDownloader。CodecPack.i,木马家族的“毒包”变种I。
“毒包”变种I是用“Microsoft Visual C++ 0”写的,有shell保护。
“毒包”变种I为提高其隐蔽性,在注册表中创建“HKEY _本地_机器\软件\ Mozilla \ ms fox”键,并将加密的木马配置信息保存到其中。这些配置信息包含了其他恶意程序的下载地址,“毒包”变种I会在被感染的计算机系统后台下载恶意程序,并根据这些下载地址自动调用运行。
为了让这些恶意程序更容易传播,“毒包”变种I把它们伪装成图像格式文件。如果用户被这些精美的图片迷惑,想要点击打开,那么隐藏在图片背后的网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)就会悄悄感染电脑用户。使计算机用户面临更多不同程度的风险,大大降低被感染系统的安全性。
“毒包”变种I将键值“MSFox”添加到被感染系统的注册表的启动键中,实现木马的启动和自启动。