“节哀顺便”(Win32.TrojDownloader.Agent.lg.237568),这是一个具有感染性质的病毒,它运行后,机器速度立即减慢,病毒迅速感染已安装的杀毒软件和安全辅助软件,使用户无法使用防御病毒的入侵。而系统时间也会被修改为2030年,使依赖系统时间的软件全部失效。病毒还会对“任务管理器”和“文件夹选项”做手脚,并进行修改浏览器主页、擅自共享资源等操作,行为十分恶劣,广大用户应特别注意该病毒。
“网游大盗131072”(Win32.Troj.OnlineGamesT.NL.131072),这是一个网游盗号木马,它会注入桌面进程explorer.exe。如果发现有《魔兽世界》、《破天一剑》、《浩方》、《惊天动地》、《完美世界》、《QQ游戏》以及QQ的主程序,就会通过读取相关进程内存的方式盗取用户的账号信息。
一、“节哀顺便”(Win32.TrojDownloader.Agent.lg.237568) 威胁级别:★★
病毒潜入用户电脑系统后,会在系统盘中释放出6个病毒文件,分别为%windows%system32目录下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe,以及%windows%下的system.ini。除此而外,病毒还在全部磁盘的根目录下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建文件夹.url等文件。
当病毒开始运行后,机器的运行速度明显减慢,看看系统时间,已经被修改成了“2030”年,这使依赖系统时间的软件全部失效。当用户打开浏览器,会发现首页被修改为一个伪装的“百度”,由于该网址同样具有正常的搜索功能,所以极具容易迷惑性。
如果用户想使用“任务管理器”和“文件夹选项”来查看是谁在系统中捣鬼,会发现这两个功能都被病毒屏蔽掉;而当用户试图打开注册表时,会弹出一个对话狂,提示“注册表编辑已被管理员停用”;再仔细检查,会发现连System32文件夹都不见了。看来,病毒已经把自己隐藏得非常深。大家这时应该会奇怪为什么安全软件为什么不报警吧,其实,它们早已被病毒感染,解除了武装。
当再次打开“我的电脑”时,用户可发现机器的硬盘以及软驱、光驱全部已经自动设置成共享状态,并且这种共享还被病毒锁死,无法改回正确的设置。这样,只要有谁愿意,都可以一览无遗地浏览用户电脑中的资料。
二、“网游大盗131072”(Win32.Troj.OnlineGamesT.NL.131072) 威胁级别:★
病毒顺利进入用户电脑系统后,在系统盘的%windows%目录下生成病毒主程序mppds.exe,还在%windows%system32目录下生成病毒文件mppds.dll。随后,它悄悄修改注册表,把自己的相关信息加入到注册表启动项中,使自己以后都可以在用户启动系统时随之自动运行起来。
当病毒运行起来时,它会利用主程序将之前生成的dll文件注入桌面进程explorer.exe的进程空间中,并进行全局监视,不断嗅探《魔兽世界》、《破天一剑》、《浩方》、《惊天动地》、《完美世界》、《武林外传》、《诛仙》、《QQ游戏》以及QQ的主程序。如果发现它们的进程或者窗口,则注入其中,通过读取内存的方式盗取用户账号信息。
如果顺利得手,病毒就在用户无法知晓的情况下建立远程连接,将偷来的账号信息发送到Http://www.n**dvd.com/g**a/lin.asp这个由木马种植者安排好的邮箱中,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
责任编辑:封小明
