木馬賺流量牟暴利　非法篡改IE瀏覽器首頁

“焦點間諜”木馬家族最新成員TrojanSpy.Pophot.clh“焦點間諜”變種clh為牟取暴利篡改用戶瀏覽器首頁，賺取超高流量。

TrojanSpy.Pophot.clh“焦點間諜”變種clh采用“Borland Delphi 6.0 - 7.0”編寫，并且經過加殼保護處理。“焦點間諜”變種clh運行后，會自我復制到被感染計算機系統的“%SystemRoot%\system\”和“%SystemRoot%\system32\inf”目錄下，并分別重新命名為“sgcxcxxaspf090104.exe”和“sppdcrs090104.scr”。同時，還會在“%SystemRoot%\”目錄下釋放惡意DLL組件“dcbdcatys32_090104a.dll”和“wftadfi16_090104a.dll”。

在被感染計算機的后臺遍歷當前系統中所有運行的進程，一旦發現指定的安全軟件存在，便會嘗試通過強行篡改系統日期、調用批處理指令等方式試圖結束這些安全軟件的運行。同時，還會通過鼠標點擊模擬以及向窗口對象發送消息等方式繞過系統監控功能的監視，從而達到自我保護的目的，提高了自身的生存幾率。

強行篡改IE瀏覽器首頁，以此提高某些網站的訪問量和插件安裝量，為駭客帶來了非法的經濟利益。“焦點間諜”變種clh在運行時會占用大量的系統資源，降低了系統運行速度，嚴重地影響和干擾了用戶對計算機系統的正常操作。

“焦點間諜”變種clh還會在可移動存儲設備的根目錄下創建“autorun.inf”（自動播放配置文件）和木馬文件，從而達到利用U盤、移動硬盤、SD卡等移動存儲設備進行自我傳播的目的，給被感染計算機用戶造成了更多的威脅。

“焦點間諜”變種clh還具有自動更新功能，會根據駭客指定站點上的配置文件“http://www.fhd**fh.cn/list.htm”進行自升級。同時還會根據配置信息下載其它的惡意程序，致使被感染計算機用戶面臨更多不同程度的風險。

另外，“焦點間諜”變種clh會在被感染計算機系統注冊表啟動項中添加鍵值“maincyucst”，以此實現木馬的開機自動運行。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]