扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“QQ盗号者155624”(Win32.PSWTroj.QQPass.st.155624),该病毒是针对QQ即时聊天工具的一个盗号木马。该病毒运行后会修改注册表增加启动项,实现自启动,然后注入QQ进程,以读取内存的方式盗取用户的QQ帐号和密码。
“感染式下载器82954”(Win32.MicBind.a.82954),这是一个感染型病毒。它将被感染的文件附在自身尾部,只要用户点击被感染的文件,即会激活病毒。病毒会破坏系统文件保护功能,然后遍历D至Z盘,对exe文件进行感染,并连接网络下载其它病毒。
一、“QQ盗号者155624”(Win32.PSWTroj.QQPass.st.155624) 威胁级别:★
病毒进入系统后,在系统盘中释放出三个病毒文件。这些病毒文件的路径在“%Program Files%Common FilesMicrosoft SharedMSINFO”目录下,名称为sysinfo.exe、6hackol.exe、6hackol.rar。随后,病毒会将自己的数据写入系统注册表的启动项,实现开机自启动,以便一劳永逸地运行下去。
当病毒运行起来,它会将之前生成的sysinfo.exe注入到系统桌面进程Explorer.exe当中,查找并注入QQ即时聊天工具的进程,然后通过读取内存的方式盗取用户的QQ号和密码、Q币金额、QQ等级等相关的信息,并把它们发送到木马种植者指定的邮箱中。
木马种植者掌握用户的QQ号后,通常会洗走Q币、将吉利的号码卖出,造成用户虚拟财产的损失,但这些还不是最坏的结果。一些胆大妄为的木马种植者,甚至可能利用盗来的QQ号进行诈骗,给用户和其好友带来更大的损失和麻烦。
二、“感染式下载器82954”(Win32.MicBind.a.82954) 威胁级别:★★
此病毒会随着被感染的文件进入电脑系统。在用户运行被感染文件后,它将被感染文件和感染源释放到系统WINDOWS目录的system32文件夹下运行。
接着,病毒瞬间破坏Windows的系统文件保护功能。这样,在它进行下一步的破坏时,系统就不会弹出警告框。当病毒开始运行后,会检查硬盘中是否存在D至Z盘的磁盘分区。如有,就对这些分区中的exe文件进行感染,将被感染的文件附在自身尾部。
同时,病毒在用户无法察觉的情况下连接网络,从木马种植者指定的地址http://n**s.h**ll.com下载其它病毒,并以Servr.exe的名称存放到%WINDOWS%system文件夹下运行。
值得留意的是,病毒感染源和原文件分别命为temp1.exe和temp2.exe,而被感染文件的图标变为安装程序的图标,使用毒霸可对被感染的文件进行修复。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月2的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。