Zlob木马通过欺骗窗口获取数据

Zlob.N 特洛伊木马试图通过欺骗性窗口或错误消息感染计算机。 如果它到达目的地，它将从 Internet 下载恶意文件。

Zlob.N 特洛伊木马不是一种试图隐藏自身并在后台执行活动的恶意程序。 这是因为 Zlob.N 在选定的计算机上执行了许多可用于怀疑存在恶意软件的操作。 该特洛伊木马程序会显示欺骗性窗口和错误消息，试图让用户相信他们的计算机上的病毒防护不足或他们的 PC 感染了间谍软件。 如果用户单击窗口中的按钮，Zlob 将开始从 Internet 下载恶意文件。

Zlob.N 还为 Internet Explorer 安装了一个新工具栏。

当 Zlob.N 木马启动时，它会执行以下操作：

1. 创建以下文件：
%当前文件夹%\smmain.exe
% CurrentFolder%\smmon.exe
% CurrentFolder%\splug.dll
% CurrentFolder%\spunst.exe
% CurrentFolder%\smunst.exe
% CurrentFolder%\spunst.exe

2. 将以下条目添加到注册数据库：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\\\un”rare” = “%CurrentFolder%\smmain.exe”
HKEY_CURRENT_USER\Software\Protection Tools”65005” = “1”
HKEY_CLASSES_ROOT\CLSID\{F0993251-2512-4710-AF6E-0A13E A199D02}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{F0993251-2512-4710-AF6E-0A13EA199D02}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Ext\Stats\{F0993251-2512-4710-AF6E-0A13EA199D02}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{F0993251-2512-4710-AF6E-0A13E A199D02}

3. 显示以下窗口或错误消息：