“杀软克星下载器835072”(Win32.Troj.BlackcsT.a.835072),这是一个木马下载器。它运行后会映像劫持大部分的安全软件,造成用户电脑失去保护。同时病毒注入系统文件,利用其空间运行自己,从网上下载更多其它病毒到中毒电脑上运行。
“天龙盗号木马90112”(Win32.Troj.OnlineGameT.uv.90112),这是一个针对网络游戏《天龙八部》的盗号木马。它会关闭电脑系统的自动更新和防火墙功能,并盗取游戏的帐号信息,发送至木马种植者指定的接收网址。
一、“杀软克星下载器835072”(Win32.Troj.BlackcsT.a.835072) 威胁级别:★★
病毒进入系统后,在系统盘的%WINDOWS%\system32\目录下生成病毒文件api32.exe、Autorun.inf、svchost.dll 、urls.dll,然后修改注册表,实现随系统自动启动之目的。同时,病毒会劫持目前知名度较高的安全软件,包括毒霸、诺顿、卡巴斯基、瑞星、冰刃、木马克星、360安全卫士、Windows木马清道夫、Merijn Hijackthis浏览器配置监视程序、绿鹰PC万能精灵、Anti ARP Sniffer等在内的数十款计算机安全产品均是此病毒的劫持目标。如果劫持成功,这些软件都将无法正常运行,当用户运行它们时,只会不断激活病毒。而失去安全软件保护的电脑,会极易受到来自网络的攻击。
当病毒成功运行起来,会把之前生成的svchost.dll文件注入到Windows系统的登陆管理器进程winlogon.exe中,利用此进程的空间来运行自己,这样用户就不容易发现它。
病毒悄悄建立远程连接,从http://www.b*a*k*8.net/这个由木马种植者指定的地址下载最新的木马地址列表文件,将其保存到%WINDOWS%目录下的exe.sys文件。随后,病毒便根据该列表去下载更多的其它病毒,并将它们也保存到%WINDOWS%目录下运行。由于被下载下来的病毒种类多样,用户的系统安全、个人隐私将受到无法估计的威胁。
二、“天龙盗号木马90112”(Win32.Troj.OnlineGameT.uv.90112) 威胁级别:★★
病毒进入用户电脑系统后,在将病毒文件WinFormA6.dll、WinFormA6.exe、WinFormA6.ini释放到系统盘的%WINDOWS%\system32\目录下。然后,它修改系统注册表,把自己的相关数据加入其中,达到随系统启动而自动运行之目的。同时,为防止系统升级后具备查杀它的能力,以及便于其下一步的破坏活动,病毒会破坏系统的自动更新和防火墙功能,并建立一个.bat 格式的批处理程序,将%WINDOWS%\system32\目录下一个名为 verclsid.exe 的安全更新文件删除。
当病毒运行起来,它就会将之前生成的WinFormA6.dll文件注入系统进程explorer.exe 中,搜索网络游戏《天龙八部》的进程game.exe。由于“game.exe”这个文件名被许多游戏同时采纳,病毒在注入该文件后,会判断其是否为《天龙八部》的进程,如果不是,便自动退出。如是,则展开监视,并伺机偷取用户的帐号密码等信息。
如顺利得手,病毒便悄悄建立远程连接,把赃物发送到“http:/ /www.w**g.net.cn/tl**ngkuai/9898.asp”这个由木马种植者安排的地址,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年1月17的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。 (责任编辑:封小明)
|
