“FTP资源吸血鬼135168”(Win32.Hack.Agent.135168),这是一个用于盗窃FTP资源的盗号木马。病毒经过了复杂的加密,试图阻止反病毒软件厂商的查杀。如果运行起来,它就会从用户系统中的FTP相关软件(比如CuteFTP这样的工具)中盗取用户保存的FTP连接地址、帐号信息等敏感数据,然后发送到病毒作者指定的地址。
“武装下载器114688”(Win32.PSWTroj.OnlineGames.as.114688),这是一个木马下载器。它不需创建任何启动项就可运行,会破坏多款安全软件的正常运行,然后从病毒作者指定的网址下载大量的木马程序。
一、“FTP资源吸血鬼135168”(Win32.Hack.Agent.135168) 威胁级别:★★
此病毒拥有多个变种,且非常狡猾,它会伪装成Adobe Flash Player、Sun Java以及Windows操作系统的安全升级补丁。欺骗用户下载和复制。由于最近Flash漏洞问题对电脑安全影响较大,电脑用户们纷纷寻找升级补丁,这样一来,该毒变得更容易得手。
如果进入电脑系统,它就会释放出病毒文件、设置自己为开机自启动,然后弹出相应的提示,欺骗用户说安全补丁已经安装。
而实际上,病毒这时候已经运行起来。它在系统盘中读取%Document and Settings%当前用户Application Data 和 %Document and Settings%All UsersApplication Data 两个路径,并进一步从它们的下层路径里读取一些关键文件,从中获知用户系统中安装的FTP软件及其版本号(比如CuteFTP这样的工具)。
接着,它读取 %WINDOWS%目录下的win.ini文件,从中获取另一个FTP相关文件的路径,然后读取该文件中所记录的FTP连接地址、用户名和密码信息。同时,它还会记录用户系统中与FTP有关的网页记录,将这些信息同之前偷到的信息一起,写入%WINDOWS%目录下一个名为db32.txt的文档中,发送到病毒作者指定的地址。
毒霸可以完全查杀该毒。如果是习惯手动杀毒的用户,可以在%WINDOWS%system32目录中找到病毒主文件aspimgr.exe,而配置文件ws386.ini、db32.txt、s32.txt则在%WINDOWS%目录下。这些病毒文件都经过了加密。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-agent-135168-50674.html
二、“武装下载器114688”(Win32.PSWTroj.OnlineGames.as.114688) 威胁级别:★
这个下载器程序具有一定的对抗能力,如果它进入系统,就破坏多款安全软件的运行,然后执行盗号。
它进入系统后首先释放出自己的病毒文件,文件有两个,一个是%WINDOWS%system32目录下的wininnet.nls,另一个是系统临时目录%temp%目录下的orz.exe。接着,就通过修改注册表中的数据,劫持系统中已安装的卡巴斯基、NOD32、毒霸等杀毒软件。
同时,它随机生成以6个字符命名的驱动文件,如生成随机字符失败则使用指定的字符“cafesvr”,创建驱动文件,再利用这个驱动去关闭其它厂家的安全软件的进程。部分具有所谓主动防御功能的杀毒软件,在此毒的进攻中将被解除武装,因为病毒会恢复系统SSDT表。
当执行完以上步骤,病毒就连接病毒作者指定的远程地址,下载一份病毒列表,以config.ini的名称保存到%WINDOWS%system32目录下。然后根据其中的地址下载更多其它病毒到用户电脑中执行。经毒霸反病毒工程师检查,这些病毒主要是网游盗号木马。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-onlinegames-114688-50675.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年6月19的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。