“魔戒木马16384”(Win32.PSWTroj.OnlineGames.al.16384),该病毒是网络游戏《魔戒》的盗号木马。病毒运行后会衍生病毒文件至系统目录下,并修改注册表启动项,使自己能随机启动。它会把截获到的账号信息通过网页提交的方式发送到木马种植者手上。
“仇恨脚本”(VBS.Rol.a.11804),这是一个脚本病毒,它可通过邮件传播。该病毒运行后会感染htm、htm、asp文件、删除磁盘中几乎全部的文件,并强行关闭系统。在关闭系统前,它还会弹出一个含有种族敌视内容的对话框。
一、“魔戒木马16384”(Win32.PSWTroj.OnlineGames.al.16384) 威胁级别:★
病毒进入电脑系统后,在系统盘的%windows%system32目录下释放出病毒文件ALMJ.exe、ALMJDLL.DLL和MJHOOK.DLL。这三个文件各有分工,其中ALMJ.exe是病毒的启动程序,而两个DLL文件是用来执行盗号工作的。
随后,病毒将自己启动程序的相关信息加入注册表启动项,这样,以后每次用户启动电脑系统时,它就能跟着自动运行起来。
病毒运行后,将之前生成的两个DLL文件分别注入系统桌面进程Explorer.exe和其它非系统进程,搜索是否有启动的网络游戏《魔戒》。一旦发现,就立即建立监视,窥探用户与游戏服务器之间的通信,从中窃取用户账号和密码等信息。如果得手,病毒就会在用户无法知晓的情况下建立远程连接,通过网页提交的方式,把脏物发送到木马作者指定的地址http://www.r*****oyuan.cn/d***50w/50W/ie/post.asp,给用户造成虚拟财产的损失。
二、“仇恨脚本”(VBS.Rol.a.11804) 威胁级别:★★
病毒进入电脑系统后,会立即对系统盘进行搜索,寻找Zone Labs、AntiViral Toolkit Pro、Command Software、PC-Cillin、Quick Heal(快速愈合)、麦咖啡、诺顿等国外主流安全软件,发现之后将它们迅速删除。这样一来,它便能在系统中肆意地进行破坏。
接着,病毒搜索系统中所有的htm、html、asp格式文件,将自己的病毒信息插入其中欧,同时它还修改注册表中的IE首页相关信息,将IE浏览器的默认首页设定为http://www.o**t.edu/g***ps/**a/ev***nder.swf。这样一来,用户使用网络服务时,就会被引导到病毒作者指定的网站。
此病毒对系统的最大的危害,在于它会删除%windows%System32目录下的全部文件,并对所有磁盘分区中的多种非系统文件进行“移形换影”。当它检测到扩展名为lnk、zip、jpg、peg、mpg、mpeg、doc、xls、mdb、txt、ppt、pp、ram、rm、mp3、mdb、swf等的文件后,就会用“原文件名+.vbs”的病毒文件替换掉原文件。
当目标文件删除完毕,病毒就会弹出一个含有敌视犹太人内容的对话框,然后强行关闭系统。除在本机上进行破坏外,病毒还会搜索受害电脑上的邮件地址,向这些地址发送含有病毒链接的邮件,借以扩散自己的影响范围。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
责任编辑:封小明
