扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“下载者28070”(Win32.Troj.Agent.yk.28070)这是一个下载者木马。他会从黑客网址下载大量的木马病毒,通过修改注册表、修改系统时间、映像劫持等方式破坏安全软件的正常运行。还会删除所有Ghost备份文件,感染所有网页文件、插入黑客网站的代码,并关闭含有“杀毒“、“木马”等字样的窗口,阻止用户寻找解决方法。
“魔域跑跑木马53248”(Win32.Troj.OnlineGames.ey.53248)这是一个盗号木马程序,它将自己注入到系统进explorer.exe中寻找网游《魔域》与《跑跑卡丁车》的进程,并盗窃它们的账号密码信息。它还能自动关闭卡巴斯基的警告框,对抗卡巴斯基的监控。
一、“下载者28070”(Win32.Troj.Agent.yk.28070) 威胁级别:★★
这是一个下载者木马病毒,会从黑客网站上下载大量其他木马病毒。病毒运行之后,在用户系统盘目录%windows%\system32\下生成病毒文件systom.exe和auToRun.inf。然后,它开始修改注册表。病毒首先将之前生成的systom.exe加入启动项,以便实现自动启动。随后,它继续修改注册表,禁止windows系统的自动更新、禁止显示隐藏文件、禁止系统进入安全模式。并修改系统时间为2000年,导致部分杀毒软件失效。它还会搜索电脑中已有的安全软件进行映像劫持,致使安全软件无法使用,同时,病毒检查所有磁盘,通过已经存在systom.exe利用复制的方法,在系统各盘符中生成新的AUTO病毒:auToRun.inf和nx.exe,删除所有Ghost备文件(扩展名为.GHO),感染所有的网页文件,插入黑客网站代码。这样,当用户开启网页时,会被指向到黑客指定的网站。而且,病毒还会关闭含有“杀毒“、“木马”等字样的窗口,阻止受害用户上网寻找解决它的方案(此方法和AV终结者类似)。当完全破坏了计算机的安全系统,木马便开始畅通无阻地下载木马病毒。它连接http://*****love.cn/tongji/tj.asp和http://****80.com/xx.dll两个网址,分五次下载大量的其他木马病毒以及接收木马制作者的新指令,给计算机用户造成无法估计的损失。
二、“魔域跑跑木马53248”(Win32.Troj.OnlineGames.ey.53248) 威胁级别:★★
这是一个典型的游戏盗号木马,针对网络游戏《魔域》和《跑跑卡丁车》制造。木马运行后,先在%windir%目录和%systemdir%目录下分别释放出GenProtect.exe与GenProtect.dll文件。然后修改注册表,将GenProtect.exe项加入启动项,这样在以后每次系统启动时,它也会随之启动。
接下来,木马将GenProtect.dll注入到explorer.exe进程,窥视系统中的《魔域》游戏进程soul.exe和《跑跑卡丁车》游戏窗口(ZElementClient Window),如果发现它们,则立刻注入到其中盗取信息,并通过URL发送到http://www.*****999.com/myqqq/shou.asp和http://www.****10.com/moyu1122/shou.asp地址。在监视账号信息的同时,GenProtect.dll还会监视卡巴斯基安全软件的警告框(AVP.AlertDialog),当发现卡巴斯基试图弹出的警告框提醒用户时,便立刻关闭该警告框,使用户无法知道病毒已经运行起来,因此用户的系统安全性将大大降低,最终导致用户的网络虚拟财产遭受损失的可能。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。