近期，安天捕風團隊捕獲到了一個名為 “itranslator_02.exe”的惡意樣本，該惡意樣 本文件帶有一個無效的證書簽名。一旦受害 者打開 exe 文件，惡意軟件就會安裝兩個驅 動，控制受害者的 Windows 系統，同時監控 受害者使用瀏覽器的互聯網活動軌跡，竊取 用戶賬戶密碼信息。

     當 itranslator_02.exe 運 行 時， 會 在 program-data 目 錄 中 新 建 目 錄 并 釋 放 名 為 wintrans.exe 的新文件，并使用參數 P002 啟 動 wintrans.exe。此處惡意樣本將 P002 作為 受害者計算機的 GUID 來使用，并在惡意攻 擊活動中利用該值與 C&C 服務器通信。

     Wintrans.exe 啟動成功后，會嘗試下載 一個 DLL 模塊（iTranslator.dll），并將其保 存到同目錄下；然后在受害者系統上創建一 個線程，用以創建名為 iTranslatorSvc 的驅動 服務，該驅動啟動類型被修改為 SYSTEM_ START，這樣每當系統啟動時都會啟用 該 驅 動。 接 下 來，wintrans.exe 會 將 名 為 iTranslator（Windows 驅動文件）的一個文件 釋 放 到 Windows 目 錄 中， 最 后 wintrans.exe會將受害者的系統等信息發送到攻擊者的服 務器。

      下 載 的 iTranslator.dll 可 以 在 首 次 安 裝 時 由 wintrans.exe 加 載 運 行， 也 可 以 在 Windows 系統啟動時由 winlogon.exe 負責加 載及運行，而后者由 iTranslatorSvc 驅動負責 加載。經過分析發現，iTranslator.dll 并不僅 僅是一個 DLL 文件，而是一個文件容器，其 資源區中包含許多其他文件，這些文件隨后 會釋放到受害者的本地目錄中。

      經進一步分析，安天捕風團隊發現 iTranslator.dll 釋 放 出 來 的 13 個 文 件 都 用 于 在受害者系統上執行 MITM 攻擊（中間人 攻 擊）， 其 中 12 個 用 于 控 制 Firefox 瀏 覽 器， 其 中 1 個 是 iNetfilterSvc 模 塊， 這 是 一 個驅動程序（NetfilterSvc），用來透明過濾 Windows 系統中通過網絡傳輸的數據包， 以及安裝 Sample CA 2.cer，然后 iTranslator. dll 會 與 iTranslatorSvc 及 NetfilterSvc 驅 動 進 行通信，交換數據。Sample CA 2.cer 是一個 根證書，會以可信根證書頒發機構形式安裝 到 Firefox 以及 Windows 系統中（針對 IE 和Chrome）。通過這種方法，使瀏覽器不會向 用戶發出任何的不安全警告，而惡意軟件可 以監控受害者在所有主流瀏覽器上的活動。 如果想刪除該惡意軟件，可以重啟主機 并進入安全模式，然后執行如下操作：
1、 刪 除 %WINDIR%\iTranslator 和 %WINDIR%\system32\iTranslator.dll 文 件；
2 、 刪 除 % W I N D I R % \ n s s 和 %WINDIR%\SSL 以 及 %ProgramData%\ itranslator 目錄；
3 、 刪 除 H K L M \ S Y S T E M \ CurrentControlSet\services\iTranslatorSvc 注 冊表鍵值；
4 、 刪 除 H K L M \ S Y S T E M \ CurrentControlSet\services\NetfilterSvc 注 冊 表鍵值；
5、刪除所有瀏覽器中的 Sample CA 2 證 書。
安天建議廣大用戶及時更新設備系統， 修補相關漏洞，修改設備登陸的默認密碼， 避免弱口令的使用，并安裝殺毒、防毒軟件。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。