注入正常进程隐藏自己的木马病毒
今日提醒用户特别注意以下病毒:“掌控木马”(Troj.RpcCmd.b)和“代理”(Troj.Agent)。
“掌控木马”(Troj.RpcCmd.b)这是一个注入Explorer进程的木马病毒,它能记录用户键盘操作并把它发送到黑客指定的邮箱上。
“代理”(Troj.Agent)这是一个木马病毒,该病毒会使得用户通过资源管理器无法查看到隐藏的文件。
一、“掌控木马”(Troj.RpcCmd.b) 威胁级别:
病毒特征:这是一个注入Explorer进程的木马病毒,它能记录用户键盘操作并把它发送到黑客指定的邮箱上。
发作症状:该病毒会在C:\windows\system32\下释放一个名为rpc32.dl的文件,此文件并非真正的DLL,实际上是一个可执行文件。然后更改注册表键值,这些键值使病毒能插入Explorer进程,并以模块的方式启动,使病毒没有生成自身的进程,增加了查杀的难度。该病毒在后台偷偷的记录用户的键盘信息,然后把记录到的信息通过自带的发信引擎发送到黑客的邮箱去。
二、“代理”(Troj.Agent):
病毒特征:这是一个用VB编写的木马病毒。
木马病毒的特征:
1.大多数的木马病毒程序为达到下次随计算机启动而自动加载的目的,一般都会将自身隐藏于系统的一些启动项中。
2.因为木马病毒的文件名可以千变万化,往往同一种木马其文件名可能完全不同,要有效地检测出木马病毒,必须通过动静结合的方法来实现。
木马隐蔽技术解析
发作症状:该病毒会将自己拷贝到系统的特定目录下,如果此目录不存在,拷贝将失败。病毒通过修改注册表编辑器的键值使得用户通过资源管理器无法查看到隐藏的文件,以此来隐藏病毒文件。此外该病毒还试图将自己拷贝到系统的其他驱动器(从F到O)。
