“输入法绑架者”木马横行

michsun

本报讯 （记者  马亚宁）本周，一种名为“输入法绑架者”的木马病毒异常活跃，24小时内就会“绑架”近万台电脑。
“输入法绑架者”木马是一种典型的绑架型木马，在系统盘“system32”目录下创建后缀名为“log”的文件。此文件实际上是作为快捷方式文件来使用，使用“log”后缀只是为了迷惑用户，提供了一部分功能给病毒主体使用。同时，此文件是一个输入法的支持文件，用于后续恶意输入法的安装。用户一旦感染该木马，不但杀毒软件无法正常使用，浏览器首页也被恶意篡改，而且电脑内会出现一个陌生输入法。该木马在输入法每次启动时，都会到网络上下载最新木马，并立刻运行，用户面临网银、网游账号等隐私信息被盗的风险。

http://xmwb.xinmin.cn/xmwb/html/2010-11/01/content_584831.htm

1003

木马横行，什么奇离古怪的招数都有，
简直是防不胜防，可怜我们这些电脑
半桶水，更是心惊胆跳，直喊怕怕！。

vipou

小心为上.

lummar

原帖由 augustheart 于 2010-11-1 17:22 发表
这个……log文件可以用来执行么？我落伍了么……

操作系统执行的时候，实际上不关心扩展名，你可以做个实验，把notepad。exe改成 notepad。txt
然后 打开一个 cmd 执行 notepad。txt，然后你就会发现 ……
起始什么都靠不住 ……

michsun

关键靠自己！

vszhw

原帖由 augustheart 于 2010-11-4 09:49 发表
你改成txt本来就是要通过notepad.exe调用这个txt文件啊，那当然有这个结果，你把其他的exe文件改成txt看看

5楼正解，

xingjz

不一定，看描述，实际上文件名可能是.log.url。像.lnk，.url这种文件，默认是不显示扩展名的，即便在文件夹选项中勾选。

柴子

输入法劫持的话，直接在注册表就可以搞定了
HKLM\SYSTEM\*ControlSet*\Control\Keyboard Layouts\
自己琢磨 - -!

附：金山铁军去年的博客
http://hi.baidu.com/litiejun/blog/item/9445530e3f0b3dc37acbe10d.html

另：不是看起来txt或者exe的后缀都是文本或程序的，正如5楼所说
   更比如这个利用了unicode控制符反转的玩意『演示程序无毒，XP自带的notepad.exe而已』



[ 本帖最后由 柴子 于 2010-11-8 05:26 编辑 ]