扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“IE嘲讽者”(VBS.JokBing.a.3920),这是一个恶意脚本病毒,运行后会修改IE浏览器首页,并导致IE的部分功能不能正常使用。它还会修改注册表关键数据,使用户无法打开注册表编辑器,并禁止用户使用一些桌面功能。
“传奇盗号木马90112””(Win32.PSWTroj.OnlineGames.90112),这是个针对网络游戏《热血传奇》的盗号木马。该病毒运行后,复制自身到系统文件夹,然后注入到Windows登陆管理器的进程winlogon.exe中,通过对网络数据的过滤来拦截《热血传奇》网游的数据,从中盗取账号信息。
一、“IE嘲讽者”(VBS.JokBing.a.3920) 威胁级别:★
病毒进入用户的电脑系统后,会在系统盘中释放出病毒文件Win32system.vbs,此文件一式三份,分别藏在%WINDOWS%目录、%WINDOWS%\system32\目录,以及%WINDOWS%\Start Menu\Programs\启动\目录下。然后病毒会修改注册表,把自己的相关信息加入启动项,这样以后它都可以随着系统启动而自动运行起来。
病毒运行起来后,会修改IE浏览器的的默认首页为域名是www.q**63.com的网站,以后用户每次启动IE时,都会被自动引导到该网站,为它“贡献”流量。而为了防止用户把首页改回原来的设置,病毒还会禁用IE上的“设置工具的->internet选项”。遇到这种情况,一些对注册表比较熟悉的用户可能会希望通过修改注册表的方法复原IE吧,但面对这个病毒,这招就不灵了,因为它早已将破坏了注册表编辑器的相关数据,使用户无法使用注册表编辑器。
此外,病毒还在电脑桌面上禁止用户使用右键、开始菜单运行项、图标显示等功能,给用户的操作造成极大不便。
在完成破坏后,病毒作者还不忘嘲讽一下用户。在系统重启时,病毒会弹出一个用四川方言写的提示对话框,以颇为诙谐的语气嘲笑受害用户运气不好,令人哭笑不得。
二、“传奇盗号木马90112”(Win32.PSWTroj.OnlineGames.90112) 威胁级别:★
病毒顺利潜入电脑系统后,在系统盘的%WINDOWS%根目录下释放出addrcqhelp.cfg、addrcqhelp.dll、qdshm.dll等3个病毒文件。随后,病毒修改注册表,将自己添加到系统不可缺少的套接字提供者接口(SPI)中,这样以后它都可以随着系统的启动而自动运行起来。
当成功地随系统运行起来后,病毒就查找Windows登陆管理器的进程winlogon.exe,并注入其中。然后,它不断搜索系统中是否有网络游戏《热血传奇》的进程文件“mir1.dat”,一旦发现,便会建立消息监控,监视用户与游戏服务器之间的网络通信数据,当从中嗅探到用户的账号密码等信息时,就会将其截获。
如果顺利得手,病毒就会读取之前生成的配置文件addrcqhelp.cfg,从中获得木马种植者的联系地址http://2*8.7*.1*3.2*4,然后悄悄建立远程连接,把赃物发送到该地址,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。