病毒预报  第八百四十九期

国家计算机病毒应急处理中心通过对互联网的监测，发现一个PDF样本，该样本用于传播新的Loki变体。Loki Bot是从受害者计算机上已安装的软件中窃取凭据，例如电子邮件客户端，浏览器，FTP客户端，文件管理客户端等。被捕获的PDF样本仅包含一页，其中包含一些社会工程学内容，以诱使用户下载并运行恶意软件。样本中的注释对象包括一个URI操作，在该操作中下载了恶意软件。然后将自身添加到启动文件夹。 首次执行此恶意软件时，它将自身复制到％AppData％\ subfolder中，然后将其重命名为 citrio.exe。而后，它创建一个可以启动 citrio.exe的VBS文件。VBS文件已添加到系统的开始菜单中，因此可以在系统启动时自动运行。所有这些操作完成后，将启动citrio.exe。 这个新的Loki变种能够从100多种不同的软件工具中窃取凭据。它通过系统注册表中的三个子项来获取已保存的电子邮件帐户，电子邮件地址，用户名，密码，SMTP，POP3，IMAP相关信息等。 针对该类恶意程序所造成的危害，建议用户不要运行未知来源的软件。同时提高安全意识，安装防病毒软件，及时为操作系统、常用软件等打好补丁，以免受到该恶意程序的危害。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心