诺顿每周病毒播报 2009年6月17日

-- 借壳explorer的盗密木马Trojan.Hanambot

作者：赛门铁克中国安全响应中心

病毒名称：Trojan.Hanambot

病毒类型：木马

受影响的操作系统：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

病毒分析：

Trojan.Hanambot感染计算机后，首先将添加注册表键值以达到开机自启动的目的。随后，该木马将恶意代码注入explorer.exe，并更改Windows防火墙设置，将explorer.exe添加到允许通过的程序列表中，使得被注入恶意代码的explorer进程能够访问网络。接下来，Trojan.Hanambot会删除浏览器的缓存文件，导致用户在登录网站—尤其是金融相关网站时—需要重新输入用户名和密码。这样，该木马就能通过监听网络数据来窃取用户的帐号和密码，并通过之前设置的网络通道将盗取的用户机密信息传送至指定的恶意服务器。

Trojan.Hanambot会周期性地从网上更新自己，以躲避检测。

诺顿安全专家建议：

1. 配置诺顿安全软件的“智能双向防火墙”功能，阻止不明应用程序访问网络，令被窃取的用户信息无法传输。

2. 诺顿安全软件独有的“身份防护” 功能，协助用户自动登录网站和填写表单，以防止窃听击键记录程序窃取您的信息。

3. 没有安装安全软件的用户可以访问 http://www.symantec.com.cn/trialware 下载诺顿360、诺顿网络安全特警2009或诺顿防病毒2009试用版对病毒进行查杀。

4. 使用诺顿2006版本及之后产品的现有用户，可以免费将产品升级至诺顿2009版本，升级网址http://www.symantec.com.cn/nuc。

赛门铁克中国安全响应中心简介

赛门铁克中国安全响应中心于2008年2月成立于成都，与位于全球各地的安全响应中心共同协作，针对当前威胁和安全风险进行监控分析，主动识别并分析新型威胁，并作为中国互联网安全威胁现状的窗口，为本地以及全球用户提供更为强大的覆盖力度，从容应对新型威胁。赛门铁克中国安全响应中心博客为用户提供及时准确的病毒事件播报和分析，敬请参阅

forums2.symantec.com/t5/blogs/blogpage/blog-id/sr_china