近期，多款盜號(hào)木馬、惡意廣告紛紛變身圖片格式，誘惑用戶點(diǎn)擊，伺機(jī)傳播，這次的元兇是“毒包”木馬家族中的***成員TrojanDownloader.CodecPack.i“毒包”變種i。

“毒包”變種i采用“Microsoft Visual C++ 0”編寫，經(jīng)過加殼保護(hù)處理。

“毒包”變種i為了提高其隱蔽性，在注冊(cè)表創(chuàng)建“HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox”項(xiàng)，將加密后的木馬配置信息保存至其中。而這些配置信息中包含有其它惡意程序的下載地址，“毒包”變種i會(huì)根據(jù)這些下載地址在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)下載惡意程序并自動(dòng)調(diào)用運(yùn)行。

為了讓這些惡意程序更容易被傳播，“毒包”變種i把他們都偽裝成了圖片格式文件。如果用戶迷惑于這些精美的圖片，想要點(diǎn)擊打開，那么潛藏在圖片背后的網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等，就會(huì)悄無聲息的感染計(jì)算機(jī)用戶。使得計(jì)算機(jī)用戶面臨更多不同程度的風(fēng)險(xiǎn)，極大地降低了被感染系統(tǒng)的安全性。

“毒包”變種i在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加了鍵值“MSFox”，并以此實(shí)現(xiàn)木馬的開機(jī)自啟。