科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道警惕“黑客遥控器9728”遥控你的电脑

警惕“黑客遥控器9728”遥控你的电脑

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

进入系统后,在系统盘根目录下释放出5个病毒文件,分别为%WINDOWS%下的0004bb58.inf和另外三个随机命名的.dll、.KEY、.sco格式文件,以及%WINDOWS%\drivers\目录下的一个.sys文件。然后,它修改注册表系统项,将自己的相关数据加入其中,使自己达到随系统启动而启动之目的。

作者:论坛整理 来源:zdnet网络安全 2008年1月8日

关键字: 病毒查杀 木马 黑客

  • 评论
  • 分享微博
  • 分享邮件
 一、“黑客遥控器9728”(Win32.Hack.PcClient.9728) 威胁级别:★
 

  病毒进入系统后,在系统盘根目录下释放出5个病毒文件,分别为%WINDOWS%下的0004bb58.inf和另外三个随机命名的.dll、.KEY、.sco格式文件,以及%WINDOWS%\drivers\目录下的一个.sys文件。然后,它修改注册表系统项,将自己的相关数据加入其中,使自己达到随系统启动而启动之目的。

  为了避免用户的发现,病毒会将自己伪装为名为“rtltvb”的WINDOWS系统的服务进程,如果用户注意检查其属性,可发现它的描述为:“Microsoft .NET Framework TPM”,路径为“%sys32dir%\svchost.exe -k rtltvb”,伪装得还真像!

  如果得以顺利运行,病毒就会读取注册表中关于代理服务器的数据,从而掌握用户的代理服务器地址。然后,它尝试在后台悄悄创建多个线程,与黑客指定的远程服务器2*1.2*7.17.2*6建立通讯,随时等待接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。

  二、“网游盗号木马14452”(Win32.Troj.AgentT.fm.14452) 威胁级别:★

  病毒进入用户的电脑系统后,在系统盘中释放出4个病毒文件,分别为%WINDOWS%\system32\目录下的avwgein.dll、avwgemn.dll、avwgest.exe,以及%WINDOWS%\Fonts\目录下的msguasd.fon。随后,它修改注册表,将自己相关数据写入其中,达到随系统启动而启动之目的。

  当开始运行后,病毒首先会在系统盘中搜索windows系统的第KB908531项安全补丁文件verclsid.exe,发现后立刻将它删除。接着,病毒不断注入当前已启动的进程中,并自动判断注入的进程是否为ElementClient.exe这一项,如果是,就立刻展开监控程序,截获用户的帐号和密码等数据。

  顺利得手后,病毒就在用户无法察觉的情况下建立远程连接,把盗取所得的帐号信息发送至http:/ /www.3**678.cn/x**q/97wg/post这个由木马种植者指定的接收网址,给用户造成虚拟财产的损失。由于ElementClient.exe这一名称被《武林外传》、《完美世界》、《诛仙》等多款网络游戏采用,因此,该病毒的影响面积也较大。

  金山反病毒工程师建议

  1.最好安装专业杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控功能,切断病毒传播的途径,不给病毒以可乘之机。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章