“网游大盗57344”(Win32.hack.Unknown.b.57344),这是一个网游盗号木马,会关闭部分安全软件的提示通知或者报警窗口。并试图关闭部分软件的监控服务。
如果发现有浩方、彩虹岛、问道、惊天动地、完美世界、QQ以及QQ游戏的主程序时则通过读取相关进程内存的方式盗取用户的账号信息。“AUTO特务89280”(Win32.Troj.AutoRun.te.v),这是一个AUTO病毒。病毒成功运行后,会在各盘中生成具有隐藏属性的AUTO病毒,注册表被病毒修改后,具有隐藏属性的文件无法查看。众多启动项被病毒删除,包括杀软、系统的启动项,这样会导致机器重启后,杀软失效,使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。
一、“网游大盗57344”(Win32.hack.Unknown.b.57344) 威胁级别:★★
病毒顺利潜入电脑系统后,会将自身文件MsIMMs32.exe复制到系统盘的%windows%目录下,然后修改注册表,将自己的相关数据加入其中,以实现开机自启动。
当它开始运行时,会立刻创建一个线程,死盯卡巴斯基的报警和通知窗口,以及瑞星的注册表监控提示窗口,一旦发现它们弹出,就立刻将其关闭。这样一来卡巴和瑞星就无法向用户报告系统中的灾情。
抢先关闭掉杀毒软件的提示窗口后,病毒就试图关闭金山毒霸、卡巴斯基、麦咖啡、江民、诺顿等杀毒软件的主程序,以便让自己可以在电脑系统中为所欲为。
当解决掉杀毒软件,病毒就开始搜索浩方、彩虹岛、问道、惊天动地、完美世界,以及QQ游戏的主程序,发现它们后,就注入游戏进程,通过内存读取的方式盗取用户的账号信息。并将其发送到http://**1.s**j***.com/c**h/lin.asp这个由木马作者指定的地址,给用户造成虚拟财产的损失。
二、“AUTO特务89280”(Win32.Troj.AutoRun.te.v) 威胁级别:★★
病毒进入电脑系统后,在系统盘中释放出六个病毒文件,分别为:
%windows%\temp\目录下的RarSFX0文件
%windows%\system32\Com\目录下的LSASS.EXE、netcfg.000、netcfg.dll、SMSS.EXE文件
%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\目录下的r[1].htm文件
以及%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\目录下的CAYNKA2Y.HTM文件。
接着,病毒修改注册表中的相关数据,使系统的隐藏功能失效,只要具有隐藏属性的文件将无法显示。稍后,它在各磁盘分区中生成的AUTO病毒文件,分别pagefile.pif和autorun.inf,这两个文件都是隐藏的。只要用户点击盘符进入,就会再次激活病毒。此后,如果在者台电脑上使用U盘等移动存储器,就会被病毒传染。
随后,病毒破坏注册表启动项,把许多正常的系统启动项从中删除,包括毒霸等安全软件的启动项。并且,病毒还释放出一个隐藏的文件“Broken SafeBoot”,用以破坏系统安全模式的。这样以来,用户将无法进入安全模式手动查杀。
除以上罪行,该病毒还会引发ARP欺骗,导致在同一局域网内的机器网络异常。在该过程中,网络会时常断开,并会有病毒被下载到中了ARP的机器。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
保留地址 http://www.qqread.com/news/f384180.html进入讨论组讨论。
相关专题
- 专一的新木马:我只在乎你的银行账号 (0次浏览)
- 着名安全厂商CA网站被黑 链接指向恶意站 (0次浏览)
- 恶意TCP/IP包可击破Windows Vista内核防线 (0次浏览)
- 小心!蠕虫专偷游戏帐号和密码 (0次浏览)
- 无法在系统中查杀:引导区病毒卷土重来 (0次浏览)
- 2008病毒与反病毒之争,谁能笑到最后? (0次浏览)
- MSN再次惹毒上身,用户当小心防范 (0次浏览)
- 病毒周报:“机器狗”惊现最新变种 (0次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web2.0 (0次浏览)
- 2007.12.31至2008.1.6 每周病毒报告 (0次浏览)
