Backdoor/Inject.uz“植木马器”变种uz是“植木马器”家族中的最新成员之一,采用高级语言编写。“植木马器”变种uz运行后,会创建互斥体“AAAAAAhouIp4aPiqeNj6eGj4azjoqNjZk=”以防止自身重复运行。在被感染系统的“c:Program Files”文件夹下开释经由加密保护的恶意DLL组件“wi8126484nd.temp”,之后会将其移动并重新命名为“c:WINDOWSTEMPhx107.tmp”。将“rundll32.exe”复制为“c:Program FilesInternet Explorercarss.exe”,并且以躲藏窗口的形式加载并运行。“carss.exe”则会将恶意代码插入到“explorer.exe”等几乎所有的进程中隐秘运行。后台遍历当前系统中运行的所有进程,假如发现某些指定的安全软件存在,便会尝试将其强行封闭,从而达到自我保护的目的。假如没有这些安全软件存在,便会频繁地在“C:Documents and SettingsAll Users「开始」菜单程序启动”和“C:Documents and SettingsAll Users「开始」菜单statrup”中复制自身。监控系统的鼠标键盘动静,同时对指定游戏的窗口(例如梦幻西游、大明龙权、地下城与勇士、大话西游、魔兽世界等)进行截屏处理,从而乘机盗取这些网游的账号信息。另外,“植木马器”变种uz会强行创建注册表服务项“HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRat”,以此实现指定恶意程序的开机自启。
