|
||||
根據卡巴斯基的介紹,此木馬采用WinRar自解壓包生成可執行文件,但文件圖標卻采用圖片,以便誘使用戶點擊運行。如果用戶警惕性不強,很容易就成為此木馬的受害者。
運行後,木馬會在系統目錄釋放一個鍵盤記錄器程序rstray.exe(Packed.Win32.Black.d)和一個按鍵信息保存文件winhlp32.hlp。值得注意的是,這兩個文件也都頗具迷惑性,一個偽裝成一種常見的安全軟件進程,一個偽裝成系統文件。鍵盤記錄器會記錄用戶的按鍵信息,伺機盜取用戶的各種帳號密碼,並將這些盜取到的信息儲存在winhlp32.hlp文件中,定時通過FTP將信息發送給黑客。發送完成後,還會定時刪除記錄文件,隱蔽性很高。
Chifrax木馬釋放到系統的文件
惡意程序登錄FTP,上傳竊取到的數據
目前,卡巴斯基已可以成功查殺該Chifrax木馬,建議廣大電腦盡快更新病毒庫進行查殺以避免不必要的損失。另外,養成良好的上網習慣,不要輕易打開來歷不明的文件,也是有效避免感染惡意程序的方法。