扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“征途盗贼10768”(Win32.PSWTroj.Onlinegame.dz.10768),这是一个盗取网络游戏《征途》帐号信息的盗取木马。它会在系统文件夹下的 system32 目录释放用于盗号的病毒文件,然后注入 explorer.exe进程。该病毒会不断重写自身的注册表启动项,避免自己无法顺利运行。
“海量下载器XO号”(Win32.Troj.DownArpT.xo.135168),这是一个下载者。会从网络上下载海量病毒并且会立即执行,严重占用系统资源。执行成功后,病毒源文件会自删除,使用户无法找到病毒源。它下载的病毒有不少是盗号木马,还有个别是能下载ARP病毒的其它下载者。
一、“征途盗贼10768”(Win32.PSWTroj.Onlinegame.dz.10768) 威胁级别:★
病毒成功潜入电脑系统后,在%windows%\system32\目录下释放出病毒文件ztfree0.dll,并将此文件相关信息写入系统注册表启动项,达到随系统自动启动之目的。并且,它会不断地重写注册表启动项,防止自身的启动项被删除,确保每次系统重启后,它都能顺利运行。
病毒开始运行后,将ztfree0.dll文件注入 explorer.exe 桌面进程,搜索是否有启动的《征途》进程zhengtu.dat,如有,就立即注入其中,通过读取 zhengtu.dat 进程内存的方式盗取用户的帐号、密码等信息。
窃取到帐号信息后,病毒就会在用户不知晓的情况下建立远程连接,将它们发送到“http://www.w***8.org/o****d/zt/l**.asp?srv=”这一木马作者指定的地址上,给用户造成虚拟财产的损失。
二、“海量下载器XO号”(Win32.Troj.DownArpT.xo.135168) 威胁级别:★★
病毒运行后,会在系统盘中生成数量极大的病毒文件群,主要集中在系统盘根目录、%Content.IE5%目录、%windows%目录、%windows%\fonts\目录、%windows%\system32\目录下。其中%windows%\目录下的upxdnd.exe病毒文件很值得注意,因为它的相关信息会被加入注册表启动项,这使得病毒在每次系统重启时都能随之启动。之后,病毒就会立即自删除源文件,使用户无法找到病毒源。
当完成以上步骤,病毒就开始连接http://www.n***23***1.com/这一远程地址,下载并立即运行大量其它病毒文件,占用大量系统资源,造成系统严重瘫痪。需要提及的是,这些下载的病毒文件,其文件名是由1~20的数字加上EXE后缀构成。
在该病毒下载的“帮凶”中,有不少是盗号木马,会盗取各种网络游戏和即时聊天工具的帐号信息。还有个别病毒会下载ARP病毒,当用户中了ARP病毒后,在同一个局域网内的其它计算机都有可能遭受欺骗,造成局域网极其不稳定。
如果使用“金山反间谍”的隐蔽软件扫描功能对系统进行扫描,在得出的信息中可发现该病毒还会破坏userinit.exe系统文件以及已安装的安全软件。一旦病毒破坏了userinit.exe系统文件,用户在重启系统后,就可能无法正常登录系统,甚至一直停留在登录界面。而当安全软件都被破坏后,用户的系统安全性将大大降低,更多的病毒将乘虚而入,给用户造成更大损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。