2008年8月31日 星期日

邪惡的BackDoor-CKB.gen.g Trojan

今天我發現了我的Notebook中了一隻Trojan病毒,McAfee叫它"BackDoor-CKB.gen.g Trojan"。受感染後機上會多了二個檔案:
c:\windows\system32\ojsiss.dll
c:\windows\system32\ojsiss.key
Registry 會多了二個Items:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinLgon\Parameters\ServiceDll=%SystemRoot%\System32\ojsiss.dll
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinLgon\Parameters\ServiceDll=%SystemRoot%\System32\ojsiss.dll

其中我發現這隻Trojan會把你曾經打過的密碼都save了去ojsiss.key,查看下才發現自己中了這個Trojan二個多月,而且我估計它是直接capture keyboard input的,所以連用https或encrpted的password它不能幸免,差不多所有password都被記下,十分邪惡。

更恐佈的是當我Google這個病毒時,竟然有網站教人把以上的檔案email給他,這不等於把自己所有password都公開嗎﹖我相信應該真是一個有計劃的騙局,不知又有多少人被騙了。

我估我可能是從網上下載program時中毒的,以後大家真的要少心少心…

PS.
1. 這病毒寄生在Expoler.exe這個Process上,要disable System Restore和Reboot in Safe Mode 才可真除去。
2. 以下version的McAfee VirusScan的DAT可偵察和除去"BackDoor-CKB.gen.g Trojan"
DAT Version: 5373.0000
DAT Created on: August 29 2008

沒有留言: