【赛迪网讯】据金山介绍:今日要注意“网络小广告24391”和“键盘记录员108627”这两个病毒。前者是一个广告木马程序。它会在后台擅自利用IE浏览器登录广告网页,浪费用户的网络流量,并损耗系统资源。后者是一个盗号木马程序。它利用键盘记录的方法,记录下用户输入的全部信息,进行加密后发送给病毒作者。病毒作者通过一定技术手段,就可以从这些信息中筛选出用户的各类帐号和密码。
“网络小广告24391”(Win32.Adware.Agent.LL.24391) 威胁级别:★
许多计算机用户在上网的时候可能都遇到过广告木马的骚扰:在你浏览网页时,突然弹出一个别的窗口,全是广告宣传内容。这些页面除了干扰大家的正常上网,还会严重浪费用户的网络流量。
本篇播报中的病毒便是一个广告木马程序。它主要利用网页挂马和借助下载器的方式进行传播。病毒运行原理很简单,它在进入用户系统后,复制自身的文件autoc0n.exe到系统盘的%WINDOWS%system32%目录下,并将其属性设置为隐藏,让用户无法察觉到系统中多出了不明文件。然后,修改注册表,将自己与IE浏览器捆绑到一起,实现开机自启动。
当顺利启动后,病毒就会在后台擅自运行IE浏览器,登录到病毒作者指定的广告页面http://www.jl.*****net.com,迫使用户浏览广告。经毒霸反病毒工程师检查,发现该广告网站占用数据流量严重,这对于网络流量费较贵的用户来说,这就无异抢钱。并且,由于广告网页的安全性较差,容易被其它病毒挂马,这也就增加了用户系统的危险系数。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-adware-agent-ll-24391-50538.html
“键盘记录员108627”(Win32.PSWTroj.OnLineGames.xn.108627) 威胁级别:★★
此篇预警播报中的病毒,是一个非常贪心的木马程序。它不仅仅是窃取网络游戏的帐号,任何输入电脑的数据都会被它悉数盗走。
木马在系统中释放完文件后,首先会修改SSDT(系统服务调度表),从而接触各种具有主动防御功能的杀毒软件的武装。然后,它修改注册表中的相关数据,把病毒文件属性设置为“系统”、“隐藏”和“只读”,并将显示模式锁定为隐藏,让用户无法发现病毒文件。
接下来,病毒启动监视程序,监视用户的鼠标、键盘操作,从而记录下用户操作电脑时输入的各种信息。并每隔一段时间,就将这些偷到的信息加密,以邮件的形式通过SMTP通信协议和网页收信空间发送给木马作者。所谓的SMTP,是一种可以免除验证的通讯方式,能为WINDOWS系统用户之间的通讯提供便利,但也因此而被一些病毒作者所利用。
由于是采取完整的键盘记录,用户在中毒电脑上输入的所有信息都会被病毒作者所掌握。他只需经过简单的分析和筛选,便可从中找到用户输入的各种帐号和密码,甚至可以掌握用户的个人隐私。
习惯手动查杀的用户,请留意病毒释放出的以下文件,分别为%WINDOWS%system32目录下的mmvo.exe和mmvo0.dll,以及系统临时目录%Temp%中的一个随机命名的.dll格式文件。一定要将它们清除,系统才可恢复正常。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-onlinegames-xn-108627-50539.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
责任编辑:董建伟
