扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:金山 2008年5月7日
"热血盗号者529792"(Win32.DownloadMX.b.529792)这是一个热血江湖的盗号木马。它可以通过模拟键盘获取用户账户信息并以模拟鼠标点击的方式使部分杀毒软件的监控放行木马的非法操作。检测自身的注册表项防止被用户更改。注册为系统组件实现开机自启动。通过读取游戏内存空间的方式盗取游戏账号。
"AUTO病毒126976"(Win32.DroworT.a.126976)这是一个AUTO病毒。该病毒通过U(优)盘传播,并会在客户机器的各盘符中产生setup.exe和autorun.inf病毒文件。当用户使用鼠标左键双击有auto病毒的盘符,则立即触发病毒,从网络上下载更多的恶意程序。
一、"热血盗号者529792"(Win32.DownloadMX.b.529792) 威胁级别:★
1.病毒运行后,会生成以下文件
%sysytemboot% system32 xdoor0.dll
2.该病毒成功运行后,其生成的DLL文件会注入到explorer.exe进程里(系统在启动时必然会启动explorer.exe),因此病毒也会随着explorer.exe的启动而启动。
3.被注入的explorer.exe进程此时会受rxdoor0.dll的控制,监视网游“热血江湖”的进程,当监测到,则开始做病毒操作。
4.病毒会利用键盘读取数据的技术,当打开“热血江湖”的进程时,开始读取用户在键盘输入的信息,然后回传到指定的地址(h**p://www.w***8.org/oksend/rx/lin.asp),从而顺利获得用户的网游账户信息。
5.通过模拟鼠标点击的方式,从而对部分杀软的警告窗口进行"点击放行"操作。
二、 "AUTO病毒126976"(Win32.DroworT.a.126976) 威胁级别:★
1.病毒成功运行后,会生成以下文件
%WINDOWS%systemlogogo.exe
2.在各盘根目录下,会生成AUTO病毒,分别是setup.exe和autorun.inf。其中,autorun.inf所指向的病毒是setup.exe,当用户左键双击进入该盘时,病毒随之触发。假如删除setup.exe文件,则一分钟后又会出现(重复生成)。
3.添加病毒启动项。当用户在启动机器时,病毒会随着系统启动而运行。
启动项名:logogo.exe 对应路径:%WINDOWS%systemlogogo.exe
4.各盘中的setup.exe和autorun.inf病毒文件都是具有隐藏属性。
5.如果触发了该病毒,会从http://web.8****6.com/120/tj.htm下载更多的恶意程序。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报,这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。