日前“橘色誘惑”木馬家族出了一名新成員——Trojan/Chifrax.ge“橘色誘惑”變種ge。

Trojan/Chifrax.ge“橘色誘惑”變種ge采用SFX自解壓格式存儲，是一個捆綁了某黑客軟件的木馬程序。

“橘色誘惑”變種ge運行后，會在被感染計算機系統(tǒng)的“%SystemRoot%\system32\”目錄下自動解壓出黑客工具和灰鴿子遠程控制木馬并同時調(diào)用運行。

木馬運行后，會自我復(fù)制到“%SystemRoot%\”目錄下并重新命名為“G_Server2007.exe”。在相同目錄下釋放惡意DLL組件“G_Server2007.DLL”，并將其插入到“explorer.exe”及其所有用戶級權(quán)限的進程中加載運行，以此達到保護木馬進程不被輕易結(jié)束的目的。

“橘色誘惑”變種ge創(chuàng)建“iexplore.exe”進程，并將惡意代碼注入其中隱蔽運行。同時，還會利用“Rootkit”技術(shù)對自身進程、文件以及相關(guān)注冊表項進行更深層次的隱藏，不僅提高了木馬的生存幾率，也為病毒的查殺帶來了干擾。

該木馬會在被感染計算機后臺不斷嘗試與控制端（IP地址為：123.52.***.174:8000）進行連接，從而致使被感染計算機淪為駭客的傀儡主機。駭客可以向被感染計算機發(fā)送任意指令，執(zhí)行任意操作，其中包括文件管理、進程控制、注冊表操作、遠程命令執(zhí)行、屏幕監(jiān)控、鍵盤監(jiān)聽、視頻監(jiān)控等，對被感染計算機用戶的個人隱私甚至是商業(yè)機密構(gòu)成嚴重的威脅。駭客還可以向傀儡主機發(fā)送大量的惡意程序，致使用戶面臨更多不同程度的威脅。

另外，該遠程控制木馬會在被感染計算機系統(tǒng)中注冊名為“ServerGrayPigeon2007”的系統(tǒng)服務(wù)，以此實現(xiàn)開機后的自動運行。

【編輯推薦】

1. “橘色誘惑”病毒偽裝成正常程序授權(quán)文件誘人點擊
2. 灰鴿子病毒——網(wǎng)絡(luò)神偷之后應(yīng)用最廣的反彈端口木馬
3. “灰鴿子”和網(wǎng)絡(luò)黑幫
4. U盤病毒再現(xiàn)網(wǎng)絡(luò) 灰鴿子使用新“道具”