技術角度剖析「假保安詐騙木馬」下載器

【賽迪網-IT技術報道】「假保安詐騙木馬29632」(Win32.Troj.Update.a.29632)是個下載器程序。它會從指定的網站下載一個偽裝成安全軟體的間諜工具到本地，欺騙用戶說電腦上有異常，要求購買所謂的「正版軟體」進行修復，達到騙取錢財的目的。

病毒名稱(中文)：假保安詐騙木馬29632

威脅級別：★★☆☆☆

病毒類型：木馬程序

病毒長度：29632

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為：

這是個下載器程序。它會從指定的網站下載一個偽裝成安全軟體的間諜工具到本地，欺騙用戶說電腦上有異常，要求購買所謂的「正版軟體」進行修復，達到騙取錢財的目的。

1.病毒運行後，會從產生以下文件

%DesktopDir%/MalwareAlarm.lnk%Programfiles%/Malware-Alarm/MalwareAlarm.lnk%Programfiles%/Malware-Alarm/Uninstall.lnk%Programfiles%/MalwareAlarm.lic%Programfiles%/MalwareAlarm/MalwareAlarm.exe%Systemroot%/xpupdate.exe

2.病毒運行後會將自身拷貝至%Systemroot%xpupdate.exe

3.修改註冊表啟動項HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run鍵值為Windows update loader，指向%Systemroot%/xpupdate.exe。

4.將用戶系統信息以指定格式發送至http://dow***ad.M****reAlarm.com/madownload.php，並根據伺服器反饋信息下載間諜軟體至本地

%Programfiles%/MalwareAlarm/MalwareAlarm.exe

5.同時，該木馬還會創建如下註冊表鍵：

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall/Malware-AlarmHKEY_CURRENT_USER/Software/Malware-AlarmHKEY_CURRENT_USER/Software/Malware-Alarm/IE SecurityHKEY_CURRENT_USER/Software/Malware-Alarm/ScanHKEY_CURRENT_USER/Software/Malware-Alarm/UpdatesHKEY_CURRENT_USER/Software/MalwareAlarm

增加啟動項

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run鍵值為Malware-Alarm 指向%System%/MalwareAlarm.exe。

6.下載後的間諜軟體運行後會彈出虛假的提示消息，提示用戶系統出現異常，要求用戶購買其正版。

(