国家计算机病毒应急处理中心通过对互联网的监测,发现一个PDF样本,该样本用于传播新的Loki变体。Loki Bot是从受害者计算机上已安装的软件中窃取凭据,例如电子邮件客户端,浏览器,FTP客户端,文件管理客户端等。被捕获的PDF样本仅包含一页,其中包含一些社会工程学内容,以诱使用户下载并运行恶意软件。样本中的注释对象包括一个URI操作,在该操作中下载了恶意软件。然后将自身添加到启动文件夹。 首次执行此恶意软件时,它将自身复制到%AppData%\ subfolder中,然后将其重命名为 citrio.exe。而后,它创建一个可以启动 citrio.exe的VBS文件。VBS文件已添加到系统的开始菜单中,因此可以在系统启动时自动运行。所有这些操作完成后,将启动citrio.exe。 这个新的Loki变种能够从100多种不同的软件工具中窃取凭据。它通过系统注册表中的三个子项来获取已保存的电子邮件帐户,电子邮件地址,用户名,密码,SMTP,POP3,IMAP相关信息等。 针对该类恶意程序所造成的危害,建议用户不要运行未知来源的软件。同时提高安全意识,安装防病毒软件,及时为操作系统、常用软件等打好补丁,以免受到该恶意程序的危害。