“尼拉葛”盗号木马家族的最新成员Trojan/PSW.Nilage.cyz“尼拉葛”变种cyz已经成为骇客用来控制用户计算机的工具。

Trojan/PSW.Nilage.cyz“尼拉葛”变种cyz采用高级语言编写，并且经过加壳保护处理。

“尼拉葛”变种cyz运行后，会在被感染计算机系统的“%USERPROFILE%\Local Settings\Temp\”目录下释放恶意程序“免杀.exe”（该程序为灰鸽子远程控制木马2009会员专版）并调用运行。灰鸽子远程控制木马运行后，会在“%SystemRoot%\system32\”目录下释放恶意程序“vshost”，并设置文件属性为“系统、隐藏、只读”。注入恶意代码至“svchost.exe”的进程中，以此实现了恶意程序的隐密运行。在被感染计算机后台不断尝试与控制端（IP地址为：60.172.*.3:8000）进行连接，致使被感染的计算机沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令，从而执行任意控制操作，其中包括：文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、视频监控等，给被感染计算机用户的个人隐私，甚至是商业机密造成了不同程度的侵害。

同时，骇客还可以向傀儡主机发送大量的恶意程序，更进一步的加深了用户所面临的威胁。

另外，该远程控制木马会在被感染计算机中注册名为“Veou”的系统服务，以此实现木马的开机自动运行。