科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道谨防病毒修改注册表

谨防病毒修改注册表

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

“AUTO下载者83703”(Win32.Troj.Iuhzu.a.83703),这是一个下载者程序。除了会从网上下载其他病毒木马外,它会在用户电脑中生成autorun病毒,并通过修改注册表、将自己设置为隐藏文件。

作者:新浪科技 来源:新浪科技 2008年5月20日

关键字: 修改注册表 注册表 注册表修改

  • 评论
  • 分享微博
  • 分享邮件

  “AUTO下载者83703”(Win32.Troj.Iuhzu.a.83703),这是一个下载者程序。除了会从网上下载其他病毒木马外,它会在用户电脑中生成autorun病毒,并通过修改注册表、将自己设置为隐藏文件,以及关闭安全软件的方式躲避用户的清理,此外,它还会通过ARP网段挂马,在内网传播病毒。

  “网游搜刮器114688”(Win32.PSWTroj.OnlineGames.114688),这是一个针对目标极多的盗号者木马。该木马会被多个网络服务所加载,能够盗取《征途》、《大话西游》、《风云》、《魔域》、《问道》、《诛仙》、《传奇》等几乎所有知名网络游戏的帐号。

  “AUTO下载者83703”(Win32.Troj.Iuhzu.a..83703) 威胁级别:★★

  病毒运行后,会在%windows%\system32\目录下释放出三个病毒文件,分别为internt.exe、progmon.exe、svchost.exe,同时,它还在所有磁盘分区中生成autorun病毒文件autorun.inf和setup.exe,当用户双击打开分区时,病毒便被再次激活。此后,如果用户将U盘等移动储存设备插在电脑上,那么很不幸,它们将立即沦为病毒的新殖民地。

  接着,病毒修改注册表,以便以后能随系统自动启动,并在将自己设为隐藏文件后,把文件夹的显示模式锁定为“不显示隐藏文件”。然后,病毒关闭任务管理器和注册表编辑器,以及包含防火墙、进程、木马、任务、天网、兔子优化、注册表等字样的窗口,这样一来,用户就无法发现和清理它了。

  完成以上步骤后,病毒开始连接http://www.h****r.com.cn这一网址,从上面下载大量的其他病毒和木马,同时释放一段APP挂马代码,破坏局域网的正常运行,扩大自己的传染范围,给用户造成无法估计的损失。

  “网游搜刮器114688”(Win32.PSWTroj.OnlineGames.114688) 威胁级别:★★

  病毒运行后,在%windows%\system32\目录下创建四个病毒文件,分别为:addrdhhelp..cfg、addrdhhelp.dll、mseam.sys、qdshm.dll,其中qdshm.dll是木马本身,mseam.sys用以实现木马的启动和自保护,addrdhhelp..cfg是病毒的配置文件,addrdhhelp.dll则用来实现盗号信息的发送。文件释放完后,病毒就删除源文件,避免用户发现。然后,病毒修改注册表,以便以后能随系统自动启动。

  此病毒利用自己的函数替换了系统中原有的函数,伪装成服务提供者,监视用户电脑上的游戏客户端与网游运营商服务器的通信,对其中的数据进行分析,一旦发现网游帐号和密码等信息,便将其记录下来,并建立远程连接,将这些信息发送给木马作者。由于采用这种窃取方式可盗得病毒作者想要的任何数据,因此这个盗号者的作案目标也十分庞大,几乎所有知名网游都会“中招”,需要特别防范。

  此外还需要注意的是,由于会被多个网络服务所加载,除非关闭系统,否则此病毒将始终保持激活状态。

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。

  2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章