| | 网站首页 | 新闻快报 | 软件教程 | 硬件教程 | 设计学院 | Q Q 专区 | 编程开发 | 网络安全 | | ||
|
|
|
|
|
|
|
|
|||||
| 您现在的位置: 浩扬网络 >> 新闻快报 >> 病毒快讯 >> 金山快讯 >> 新闻正文 |
“传奇武装盗号器69632”(Win32.Troj.OnlineGames.cq.69632),这是一个针对《传奇》游戏的盗号木马。它伪装成一个音频驱动程序,破坏安全软件的正常运行,然后利用读取游戏内存的方式盗取玩家的帐号和密码。
“广告下载器105536”(Win32.Adware.Virtumonde.105536),这是一个广告程序。它会为指定的网站刷流量,还会下载其它木马文件到用户电脑中运行。
一、“传奇武装盗号器69632”(Win32.Troj.OnlineGames.cq.69632) 威胁级别:★★
被此毒入侵的电脑,用户可在%WINDOWS%\system32\dllcache\目录下发现一个cdaudio.sys文件,看上去像个cd音频驱动文件,其实这个是病毒经过伪装的驱动文件。是病毒第一次运行时,临时释放的用来恢复SSDT表、对抗杀毒软件的。
如果用户重新启动电脑,病毒会删除掉整个%WINDOWS%\LastGood文件夹,然后将该驱动更名为msIffei.sys,释放到到%WINDOWS%\system32\Drivers\目录下,再次恢复SSDT表。
同时,该毒将位于%WINDOWS%\system32\目录下的的主文件kub12.exe添加到注册表启动项,实现开机自运行。成功启动后,,检查当前进程名,如果找《传奇》的进程找到就远程注入,加载同一目录下的kub12.dl文件,读取游戏内存中的帐号和密码信息。
当盗取成功之后,病毒自动将赃物发到 game.Wh****0314.com/quake/这个由病毒作者指定的邮箱,令用户遭受虚拟财产的损失。同时,由于它还原SSDT表,破坏了安全软件的正常运行,这就为其它病毒的入侵提供了便利。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegames-cq-69632-51790.html
二、“广告下载器105536”(Win32.Adware.Virtumonde.105536) 威胁级别:★
这个下载器利用注入系统桌面进程来实现开机自动运行。如果成功运行起来,便会进一步注入到IE浏览器的进程中,控制IE浏览器在后台登录病毒作者指定的网站,替该网站刷流量。
该毒会在%WINDOWS%\SYSTEM\目录中释放出一些随机名称的病毒文件,当完成注册表启动项写入后,它就检测网络是否可以使用,如果可以,就执行连接远程服务器的任务。
与远程服务器接通后,除进行上述的刷流量,它也会下载其它木马文件到用户电脑中运行。此外,为防止重复运行引起系统崩溃,该毒还会建立互斥体,这样当其它副本进入已被入侵的电脑时,就不会再运行。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-adware-virtumonde-105536-51791.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年9月24日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
|
|
|
|
|
| | 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 | 网站公告 | |