卡巴斯基(病毒库更新)2008.04.20):监控系统被劫持,但木马在内存运行时提示,probell.exe删除了未加密的文件副本。
McAfee(病毒库更新super data5260):木马在运行过程中被杀,但监控系统被劫持,需要重启。
姜敏(病毒库更新2008.04.20):木马运行时未被删除,但木马不能正常运行,监控系统正常(木马劫持列表中没有姜敏)。
犯罪记录:许多人喜欢红心QQ头像,《盗心贼》是这一时期发布的图片木马。木马利用木马红旗图片在网页上传播,危害广泛。
木马分析:当用户复制红旗地图时,木马会隐藏并释放一个DLL程序植入EXPLORER.EXE。木马会破坏常用安全软件的监控程序,大大降低被感染计算机的安全性。木马在后台秘密记录用户的键盘操作和鼠标操作,窃取用户输入的秘密信息并发送给黑客。与黑客指定的服务器建立网络连接,被感染的计算机完全由黑客远程控制。黑客可以进行任何文件操作、过程操作、注册表操作、服务操作、屏幕监控、摄像头捕获、命令操作等。对用户的安全、个人隐私甚至商业秘密构成严重威胁。木马可以很快找到安全软件是否安装在计算机上并劫持它们。在病毒劫持列表中,最常见的安全软件包括金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等。这些安全软件一旦被劫持就无法运行。
木马主体:当木马运行后将自己复制到感染的计算机系统时,病毒文件将被复制_ uninsep.bat、pro.exe、pro.dll释放到系统磁盘的根目录,同时替换kernel32.dll文件,放入“% documents and settings % \ all users \ Start menu \ programs \ Start”文件夹生成病毒主文件probell.exe木马使用8088端口自动连接黑客服务器副本(未加密代码)。修改系统注册表,创建名称“Scager”实现启动和自启动的系统服务。木马具有自删功能。当它完成运行时,代码被删除,只留下一张正常的图片。