諾頓病毒週報—偽裝explorer的盜密木馬Trojan.Hanambot

Trojan.Hanambot感染電腦後，首先將增加登錄表以達到開機自動啟動的目的。隨後，該木馬將惡意程式碼置入explorer.exe，並更改Windows防火牆設定，將explorer.exe增加到允許通過的程式清單中，使得被置入惡意程式碼的explorer程式能夠訪問網路。
[local]1[/local]
諾頓病毒週報 2009年6月22日
偽裝explorer的盜密木馬Trojan.Hanambot
(作者：賽門鐵克中國安全回應中心)
病毒名稱：Trojan.Hanambot
病毒類型：木馬
受影響的作業系統：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析：
Trojan.Hanambot感染電腦後，首先將增加登錄表以達到開機自動啟動的目的。隨後，該木馬將惡意程式碼置入explorer.exe，並更改Windows防火牆設定，將explorer.exe增加到允許通過的程式清單中，使得被置入惡意程式碼的explorer程式能夠訪問網路。
接下來，Trojan.Hanambot會刪除瀏覽器的快取檔案，導致用戶在登錄網站—尤其是金融相關網站時—需要重新輸入用戶名和密碼。這樣，該木馬就能通過側錄網路資料來竊取使用者的帳號和密碼，並通過之前設置的網路通道將盜取的使用者機密資訊傳送至指定的惡意伺服器。
Trojan.Hanambot會週期性地從網上自我更新，以躲避檢測。

諾頓安全專家建議：
1. 配置諾頓安全軟體的「智慧雙向防火牆」功能，阻止不明應用程式訪問網路，讓被竊取的使用者資訊無法傳輸。
2. 諾頓安全軟體獨有的「身份防護」功能，協助用戶自動登錄網站和填寫表單，以防止竊聽擊鍵記錄程式竊取您的資訊。