扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“广告宣传单983040”(Win32.Troj.Autorun.ex.983040),这是一个木马程序变种。病毒运行后会关闭瑞星、卡巴斯基、360安全卫士等安全软件的进程.另外,病毒尝试将自身写入IE保护工具白名单,并自动点击指定网站来增加访问,它还会进行利用QQ窗口传播病毒信息、删除系统中用于存放网页地址数据的hosts文件等破坏活动。
“传奇盗号木马9900”(Win32.Troj.LmirT.by.9900),这是一个针对网络游戏《传奇》的盗号木马程序。它会强行关闭系统中的杀毒软件,并绕开游戏密保,然后盗取游戏的帐号和密码。
一、“广告宣传单983040”(Win32.Troj.Autorun.ex.983040) 威胁级别:★
病毒进入系统后,首先将自己的病毒文件ridiap080124.exe复制至%WINDOWS%system32目录下,并在系统盘中生成四个病毒文件,分别是%WINDOWS%目录下的ie.ini,%Documents and Settings%All Users「开始」菜单\程序启动\目录的word.lnk,%WINDOWS%system32目录下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。释放完文件后,病毒就建立批处理程序,把自己的原始文件删除,使用户无法发现病毒源。
病毒会利用word.lnk快捷方式指向病毒主文件ridiap080124.exe来达到开机启动,然后查找“瑞星”和“卡巴斯基”等的警告窗口,如发现则模拟发送按钮消息跳过查杀。同时还注入系统桌面的进程iexplorer.exe,在进程中查找并关闭“瑞星”、“卡巴斯基”、“360安全卫士”等安全软件的进程。
解决掉安全软件后,病毒尝试将自身伪装成Browser Helper Objects的进程(微软IE浏览器对第三方程序员开放交互接口的业界标准),并将自己添加到IE保护工具白名单中,删除系统中用于记录网址的hosts文件,为自己接下来的破坏行为铺平道路。
如顺利完成以上工作,病毒便连接木马种植者指定的地址,获取一份网址信息,自动登录其中的网站,为它们增加访问和“贡献”流量。同时,它还会利用QQ窗口传播包含病毒信息的消息,扩大自己的传播范围。
二、“传奇盗号木马9900”(Win32.Troj.LmirT.by.9900) 威胁级别:★★
病毒进入用户的电脑系统后,在系统盘%WINDOWS%目录下释放出病毒文件192896M.exe和192896MM.DLL,并修改系统注册表,把自己设置为随系统启动而自动运行。
当病毒运行起来,会迅速查找毒霸、卡巴斯基、瑞星、360安全卫士等安全软件的进程,发现后将它们强行中止。然后在后台连接http://www.f**3.com:7*7/这个地址,下载一个名为MyUnBoundMB.uib的文件。这个动作对病毒的作案比较重要,因为该文件可帮助病毒绕开游戏密保的保护。
随后,病毒将之前生成的192896MM.DLL注入到系统桌面进程explorer.exe中,查找网络游戏《传奇》的进程。如果找到,就注入其中,通过读取游戏内存的方法获得帐号密码,并通过网络发送到木马种植者指定的地址,使用户遭受虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年1月28的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者