扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
最近网上疯狂流行一种新的盗号木马wgatraye.exe 这个木马冒充微软防盗版验证程序wgatray.exe隐藏在C:\WINDOWS\system32目录下, 伴随着网络游戏、即时聊天等程序自启动,并修改Userinit值,自动连接远程网络大量下载Trojan-PSW.OnLineGames和Trojan-Win32.OnLineGames系列盗号木马
这些盗号木马都很难缠,目前流行的杀软都无法彻底清除,而且威胁的根源——由于这个自动设置本身属性为隐藏的、无限自生的wgatraye.exe 是最近才出现的很多杀软的病毒库里都没有它的病毒样本,根本查不出来,只有一些防火墙之类的软件可以拦截到它,下面是金山网镖的拦截wgatraye.exe的信息:
该应用程序首次运行,是否允许继续访问网络?
程序:wgatraye.exe
路径:C:\WINDOWS\system32\wgatraye.exe
产品版本: 0.0.0
创建日期: 2008-07-23 13:56:56
网络操作: 连接远程网络
网络协议: TCP
远程地址: 220.181.37.151(这个IP地址查出来是北京市的)
远程端口: 80
在360安全卫士的“网络连接状态”中我们可以看到这个进程处于监听状态,并且调用了大量的dll文件到进程中,使占用的内存大增.在“应用规则”里面设置了禁止访问网络也没用,它老是自动生成一个新的wgatraye.exe,导致金山网镖每次拦截都说该应用程序首次运行,是否允许继续访问网络?
这个木马甚至还能欺骗杀软 ,比如你已经把C:\WINDOWS\system32\wgatraye.exe
添加进奇虎360保险箱黑名单了,按理说应该可以阻止它启动,可是360保险箱不但不阻止,还自动把它添加到正在保护列表中来保护。最后我只得上传病毒样本到360百科、金山可疑文件分析中心和毒霸论坛,可是等了几天都没有回复解决方案,连着好几天频繁的手动结束wgatraye.exe进程、删除 wgatraye.exe本已让我恼火不已 ,在一次游戏中被wgatraye.exe强行关闭后 ,我一气之下卸载了《口袋西游》客户端,我一边看着卸载进度条慢慢地涨满一边回想以前玩《口袋西游》时的情景,心中渐渐有些恋恋不舍,我想:再等等,也许过几天网上就会有解决方案了吧,毕竟这游戏确实不错。想着想着我就开始重新安装,安完后我用补丁把它升级到最新版本的时候,我发现我一直开着的任务管理器进程里面的wgatraye.exe没再出现了!打开C:\WINDOWS\system32也没找到自动生成的wgatraye.exe了!! 要知道,以前不但你启动了网游的应用程序wgatraye.exe会自动生成并运行,而且就算你开着电脑什么也不干它都会每隔一段时间自动生成并运行,我惊喜之下,把电脑重新启动了去看进程,没有wgatraye.exe!我又打开《口袋西游》客户端,没有wgatraye.exe!!我又连上了两个QQ 号,没有wgatraye.exe!!!哇噻成功了 ,wgatraye.exe竟然没有自动生成了 !好一番兴奋之后,我猜想这个木马极有可能和《口袋西游》客户端的某些程序挂钩了,所以一些常用的处理方法都对它无效,当你把被挂钩了的客户端删掉,装上新的客户端时wgatraye.exe自然没有办法再自动生成,我连玩了两天都在没有异常情况发生,所以证明我瞎猫装上死老鼠发现的这个简单可行的办法确实有效!那些装一大堆杀软仍被盗号的朋友、被迫还原系统的朋友们 ,快来试试这个办法吧,我们不怕被盗了,哇哈哈哈哈后!耶耶耶!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。