新的特洛伊木马劫持快捷方式以确保其执行

阿维拉检测到一种新的信息窃取木马,该木马似乎起源于中国’ researchers.

它旨在窃取与各种流行网站(例如YouTube,Google和PayPal)相关的用户名和密码,以及与中国网站(例如youku.com,tudou.com,sogou.com和soho.com)链接的用户名和密码。结合这些信息和木马将窃取的凭证发送到位于中国的服务器这一事实,您可以了解为什么研究人员认为该凭证来自该国。

但是,还有另一件事引起了他们的兴趣。与试图修改注册表项或利用注册表项的特洛伊木马的典型行为相反。 自动运行 为了确保它们可以运行,此功能会查找位于桌面或特殊文件夹中的快捷方式。

然后,它会复制其自身并将其放置在包含链接文件(通常是可执行文件)的文件夹中,并将这些链接文件重命名为 click_ [原始文件名] .exe 并为其副本提供原始链接文件的名称。

这样,每次用户单击快捷方式时,它将运行木马。另外,为了尽可能长时间不被检测到,将指示副本在自身执行后运行重命名的文件。

分享这个