日前“橘色诱惑”木马家族出了一名新成员——Trojan/Chifrax.ge“橘色诱惑”变种ge。

Trojan/Chifrax.ge“橘色诱惑”变种ge采用SFX自解压格式存储，是一个捆绑了某黑客软件的木马程序。

“橘色诱惑”变种ge运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下自动解压出黑客工具和灰鸽子远程控制木马并同时调用运行。

木马运行后，会自我复制到“%SystemRoot%\”目录下并重新命名为“G_Server2007.exe”。在相同目录下释放恶意DLL组件“G_Server2007.DLL”，并将其插入到“explorer.exe”及其所有用户级权限的进程中加载运行，以此达到保护木马进程不被轻易结束的目的。

“橘色诱惑”变种ge创建“iexplore.exe”进程，并将恶意代码注入其中隐蔽运行。同时，还会利用“Rootkit”技术对自身进程、文件以及相关注册表项进行更深层次的隐藏，不仅提高了木马的生存几率，也为病毒的查杀带来了干扰。

该木马会在被感染计算机后台不断尝试与控制端（IP地址为：123.52.***.174:8000）进行连接，从而致使被感染计算机沦为骇客的傀儡主机。骇客可以向被感染计算机发送任意指令，执行任意操作，其中包括文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、视频监控等，对被感染计算机用户的个人隐私甚至是商业机密构成严重的威胁。骇客还可以向傀儡主机发送大量的恶意程序，致使用户面临更多不同程度的威胁。

另外，该远程控制木马会在被感染计算机系统中注册名为“ServerGrayPigeon2007”的系统服务，以此实现开机后的自动运行。

【编辑推荐】

1. “橘色诱惑”病毒伪装成正常程序授权文件诱人点击
2. 灰鸽子病毒——网络神偷之后应用最广的反弹端口木马
3. “灰鸽子”和网络黑帮
4. U盘病毒再现网络 灰鸽子使用新“道具”