TrojanDropper.Ekafod.fq“埃卡”變種fq是“埃卡”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,經過加殼保護處理。“埃卡”變種fq運行時,會在被感染系統的“%SystemRoot%system32”和“%SystemRoot%system32dllcache”文件夾下分別釋放惡意DLL組件“ouyn1.dll”。在被感染系統的“%SystemRoot%system32”文件夾下釋放惡意DLL組件“ghjik.dll”,并將其注冊為BHO。其還會番禺網頁設計在該文件夾下釋放惡意程序“arxkix.exe”并調用運行。釋放完成后,原病毒程序會釋放批處理程序“375O540.bat”并調用運行,以此消除痕跡。“埃卡”變種fq運行時,會在被感染系統的后臺連接駭客指定的站點“http://www.niu*dou.com/web/download/”,下載惡意程序“runie.dll”、“NoViewRun2.dll”并自動調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。“埃卡”變種fq還會在當前系統運行的進程中查找是否存在“ravmond.exe”、“360tray.exe”,如果發現則會將其強行關閉,以此達到自我保護的目的。另外,“埃卡”變種fq會通過在被感染系統注冊表啟動項中添加鍵值的方式實現開機自啟。
粵公網安備44011302004697
