木马窃取PayPal数据 IcePack安恶意软件

【原创翻译，版权所有，合作网站如欲转载，请注明原创翻译作者，及文章出处（赛迪网）。谢绝非合作网站转载，违者，赛迪网将保留追究其法律责任的权利！】

PayRob.A是种能够窃取PayPal账户数据的木马。跟大多数木马一样，该木马不能自己传播，它也需要恶意用户的干涉才，才能进入受害计算机。

如果目标用户运行了载有该木马的文件，它会自动将自己设置成隐藏属性，并且修改Windwos注册表，以确保系统一启动就自动运行木马。

该木马会在被感染的机器上、在临时Internet文件夹和C:\WINDOWS\MSAPPS\中运行2个文件。如果系统中找不到后一个文件夹，系统就会显示错误提示信息。

它还会往临时Internet文件夹中复制名为modeexpinovo.txt的文件。该文件存有它从被感染的系统中搜集的所有PayPal密码。黑客可以从一些网络主机远程访问这些文件。

Chasnah.A蠕虫会在用户登录时显示印度尼西亚文的消息，并不时打开一个印尼组织的网页。

该蠕虫通过共享文件夹以及USB设备传播。运行后，该蠕虫会在被感染的系统中创建数个文件，并修改注册表。

然后，只要用户登录，系统就会显示英文以及印尼文窗口。另外，它还会定期打开网络浏览器，显示上文提到的页面。

该蠕虫会不时地阻止系统运行一些安全应用程序，从而降低系统的安全性，它会检测系统是否连有USB设备，如果有就感染这些设备。

最后，IcePack是一种搜寻漏洞，然后往计算机上安装恶意软件的工具。Icepack通过如下进程感染计算机：该程序访问某网页，向其中添加一个iframe参考，指向该应用安装的服务器。IcePack的特别之处就在于它能添加iframe。之前类似的应用程序比如Mpack，需要黑客手动访问网页来插入该程序。

用户访问这些被修改了的网页的时候，该iframe就会激活Icepack，于是Icepack就会在用户计算机上寻找漏洞。如果有漏洞，它就会下载针对该漏洞的攻击。Icepack的一个重要特点就是，它使用针对最新漏洞的攻击。原因就是，由于这些漏洞是最新的，所以用户有可能没有更新计算机，处理掉这些漏洞。

这样，网络罪犯就可以往被感染的计算机下载任何恶意软件了。Icepack的另一创举在于它将ftp验证程序和iframer结合在了一起。前者帮助犯罪者搜索他们从被感染计算机窃取的FTP账户信息。这些账户数据通过验证程序来验证是否有效。有效的数据被传送给iframe，将其插入到指向账户中Icepack的iframe。这样，该应用程序就可以开始运作了。