作者:木淼鑫
【赛迪网-IT技术报道】“菠萝穴”木马家族新成员Packed.PolyCrypt.kl“菠萝穴”变种kl实为经过特殊处理的“黑防专版”灰鸽子远程控制木马。
Packed.PolyCrypt.kl“菠萝穴”变种kl采用“Borland Delphi 6.0 - 7.0”编写,经过多层加壳保护。
“菠萝穴”变种kl运行后,会自我复制到被感染计算机系统的“%SystemRoot%/”目录下,重新命名为“twunk_31.exe”,设置文件属性为“系统、只读、隐藏”,然后会将原文件进行删除,以此消除痕迹。
“菠萝穴”变种kl运行后会将恶意代码注入到新创建的“IExporer.exe”进程中隐密运行。在被感染计算机后台不断尝试与控制端(IP地址为:125.42.*.243:8000)进行连接,一旦连接成功,则被感染的计算机系统便会沦为骇客的傀儡主机。骇客通过该木马,可以向被感染的计算机发送恶意指令,从而执行任意控制操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等,会给被感染计算机用户的个人隐私甚至是商业机密造成不同程度的侵害。
骇客还可以向傀儡主机发送大量的病毒、木马、流氓软件等恶意程序,从而给用户构成了更加严重的威胁。
“菠萝穴”变种kl会通过在系统注册表启动项中添加键值“twunk_31.exe”的方式来实现木马的开机自启。
标签: 黑客