木马Trojan.Hanambot将恶意代码注入explorer.exe,并更改Windows防火墙设置。
病毒名称:Trojan.Hanambot
病毒类型:木马
受影响的操作系统:Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析:
Trojan.Hanambot感染计算机后,首先将添加注册表键值以达到开机自启动的目的。随后,该木马将恶意代码注入explorer.exe,并更改Windows防火墙设置,将explorer.exe添加到允许通过的程序列表中,使得被注入恶意代码的explorer进程能够访问网络。接下来,Trojan.Hanambot会删除浏览器的缓存文件,导致用户在登录网站—尤其是金融相关网站时—需要重新输入用户名和密码。这样,该木马就能通过监听网络数据来窃取用户的帐号和密码,并通过之前设置的网络通道将盗取的用户机密信息传送至指定的恶意服务器。
Trojan.Hanambot会周期性地从网上更新自己,以躲避检测。
诺顿安全专家建议:
1.配置诺顿安全软件的“智能双向防火墙”功能,阻止不明应用程序访问网络,令被窃取的用户信息无法传输。
2.诺顿安全软件独有的“身份防护” 功能,协助用户自动登录网站和填写表单,以防止窃听击键记录程序窃取您的信息。
3.没有安装安全软件的用户可以下载诺顿360、诺顿网络安全特警2009或诺顿防病毒2009试用版对病毒进行查杀。
4.使用诺顿2006版本及之后产品的现有用户,可以免费将产品升级至诺顿2009版本。