扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“机器狗变种53248”(Win32.Troj.Agent.dd.53248),这是一个机器狗变种。病毒运行后修改注册表,映像劫持大量安全软件,导致它们无法正常运行。同时它还释放驱动文件,实现自保护。最后,病毒会通过网址获得木马种植者提供的最新病毒列表,下载大量木马至用户计算机。
“秘密记录员”(Win32.Troj.Agent.um.401408),该木马运行后,监视系统是否运行有安全软件(如360、金山反间谍、卡巴斯基等),如果有则关闭,并禁用任务管理器。同时,它会监视用户的QQ聊天信息和打开系统后门,便于黑客进行恶意行为。
一、“机器狗变种53248”(Win32.Troj.Agent.dd.53248) 威胁级别:★★
病毒进入系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%system32目录下的winsrv32.dll,以及%WINDOWS%system32\drivers目录下的ati32srv.sys。其中的ati32srv.sys特别值得注意,因为病毒会将它的相关数据写入注册表,恢复系统的SSDT表,这样就可能导致杀毒软件的“主动防御”和“自我保护”功能失效。
接着,病毒以极快的速度继续修改系统注册表,对大量的杀毒软件和安全辅助软件实施印象劫持,造成它们失效。对于那些不需经过注册表就能使用的绿色安全产品,病毒也采取监视系统进程的方式来阻止其运行。由于病毒的“黑名单”极为庞大,几乎目前所有的杀毒软件及安全辅助软件都会“牺牲”。
完成以上步骤后,病毒悄悄连接http://xxx.w**ala.info/c**hi/、ttp://xxx.f**liu001.info/c**hi/、ttp://a.x**yige.com/等多个由木马种植者指定的网址,获取最新的病毒下载列表,然后根据列表上的地址去下载大量其它木马至用户计算机运行,引发更多无法估计的系统安全问题。
二、“秘密记录员”(Win32.Troj.Agent.um.401408) 威胁级别:★★
病毒会在系统盘中释放出五个病毒文件,分别为%WINDOWS%目录下的mwinsys.ini、%WINDOWS%system目录下的AlxRes070826.exe、%WINDOWS%system32inf目录下的scrsys070826.scr和scrsys16_070826.dll,以及%WINDOWS%system32目录下的winsys16_070826.dll和winsys32_070826.dll。另外,如果用户系统中有D盘,病毒会在D盘根目录下生成一个名为myplayer.com的病毒文件。
文件释放完毕后,病毒将自己的相关数据写入系统注册表启动项,让自己能随系统桌面进程Explorer.exe一起启动。如果能成功启动,病毒就会查找并关闭金山毒霸、卡巴斯基、360安全卫士等安全软件,并禁止任务管理器启动。
随后,病毒在系统中查找IE浏览器的进程iexplore.exe、腾讯TT浏览器的进程TTraveler.exe,以及遨游浏览器的进程maxthon.exe进程,如果有则创建远程线程注入其中。同时,它监视用户的QQ聊天信息,将其记录后保存记录到本地。最后,该病毒会打开系统后门,等待木马种植者(黑客)的远程连接。
如果黑客成功入侵用户系统,除能查看到用户QQ聊天记录外,还可以进行任何其想要的操作,这可能给用户带来无法估计的威胁和麻烦。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月3的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。