| 木马Trojan.Hanambot将恶意代码注入explorer.exe,并更改Windows防火墙设置。
病毒名称:Trojan.Hanambot
病毒类型:木马
受影响的操作系统:Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析:
Trojan.Hanambot感染计算机后,首先将添加注册表键值以达到开机自启动的目的。随后,该木马将恶意代码注入explorer.exe,并更改Windows防火墙设置,将explorer.exe添加到允许通过的程序列表中,使得被注入恶意代码的explorer进程能够访问网络。接下来,Trojan.Hanambot会删除浏览器的缓存文件,导致用户在登录网站—尤其是金融相关网站时—需要重新输入用户名和密码。这样,该木马就能通过监听网络数据来窃取用户的帐号和密码,并通过之前设置的网络通道将盗取的用户机密信息传送至指定的恶意服务器。
Trojan.Hanambot会周期性地从网上更新自己,以躲避检测。 |
