卡巴斯基实验室近期检测到一种可以记录用户上网习惯的木马程序。一旦感染这种木马,用户的上网行为,包括经常访问的网站、下载的数据、在线购物及使用网银的情况等均会被此木马记录下来,从而利用这些信息实施进一步攻击。
此木马是一个用Delphi语言编写的下载器木马。木马运行会创建一个名为“方格子网娱平台XXXX888广告P2P_min!@#$%”的互斥量并在运行目录下创建AD_P2P.log的日志文件记录木马运行情况。之后木马会尝试从以下地址:
61.163.66.14:8080/fgz/
222.87.128.45:8080/fgz/
119.1.96.100:8080/fgz/
58.42.251.58:8081/fgz/
下载一个名为xHost.dat的文件和一个名为AD2.ZIP的文件。
其中,xHost.dat被卡巴斯基检测为Trojan.Win32.Inject.elbx,该程序会释放另外的恶意dll文件注入explorer进程。而AD2.ZIP中的文件则会向用户浏览器收藏夹中添加广告链接,弹出广告,窥视用户上网习惯。
目前,卡巴斯基所有产品均可以对该木马进行查杀。用户只需保持反病毒数据库更新即可有效拦截该恶意程序。卡巴斯基实验室同时提醒广大网友,对于来源不明的文件,一定不要轻易打开。此外,在选择浏览器时,尽量选择本身安全性比较高的浏览器来使用,以免感染恶意程序造成损失。
