病毒预警：“普通远程控制器”躲避检查 窃取系统数据

淡淡体味

病毒预警：“普通远程控制器”躲避检查 窃取系统数据

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：1995 回复：0

“普通远程控制器757764”（Win32.Troj.EjokT.ea.757764），这是一个远程控制木马。它能帮助黑客窃取用户系统中的数据或控制电脑，该毒采用注入系统进程内部运行的方式来躲避检查，具有一定程度的隐藏能力。

　　“犯罪核心下载器4841”（Win32.Troj.Tibs.s.4841），这是一个木马下载器。它会下载大量的其它木马程序到电脑中执行，并于执行完毕后删除这些木马的原始文件，防止被用户发现。

　　一、“普通远程控制器757764”（Win32.Troj.EjokT.ea.757764）威胁级别：★

　　此毒是一个典型的非法远程控制程序，也就是通常所说的远程木马。当它进入用户的电脑系统，并释放出文件、修改注册表实现开机启动后，就会于后台悄悄建立网络连接，收发黑客指令。

　　它会收集用户系统的一些基本数据，如电脑的MAC地址、IP地址、硬件配置信息等，将它们发送给黑客，黑客根据这些信息，判断用户电脑是否对他的“胃口”。

　　如果觉得值得入侵，就会根据该毒在系统中开启的后门对用户电脑进行控制，盗窃其中的重要数据，甚至将中毒电脑变成攻击其它电脑的“肉鸡”。

　　该毒比较重要的两个文件会被释放到%WINDOWS%\SYSTEM32\目录中，分别是resiifers.ini和tuanzmmctecyf.dll。

　　二、“犯罪核心下载器4841”（Win32.Troj.Tibs.s.4841）威胁级别：★★

　　病毒中文名来源于该毒的主要文件“kernels32.exe”，英文意思为“核心”。正如其名一样，该毒一旦进入系统，就会招兵买马，下载大量的其它木马程序，并根据最新的配置文件来控制这些木马，让它们按照病毒作者指定的规则去运行，宛若犯罪组织的控制核心。

　　所有被下载的木马原始文件都隐藏于系统临时目录%WINDOWS%\TEMP\中，采用类似于6.qtdfmp、7.qtdfmp的随机命名。随后该下载器会按配置文件的要求激活它们，执行各种非法操作，盗窃各种有价值的数据文件。

　　这些木马的下载源头都来自“http://85.****.113.242”这个地址，该地址同时还提供此下载器的配置文件更新服务，这样一来，病毒作者就可以不断向该毒发出最新的指令。

　　根据毒霸反病毒工程师的检查，这款下载器主要利用捆绑正常文件或伪装成其它文件诱惑用户下载的方法来传播，如果您没有安装金山毒霸，那么避免遭遇该毒的最好办法就是尽量少去不知名的下载站点。