"奇跡世界盜號(hào)者"(Win32.Troj.Suicide.xx.10528)這是一個(gè)盜號(hào)木馬。病毒運(yùn)行后��,會(huì)在系統(tǒng)目錄下生成病毒文件��,并且添加病毒啟動(dòng)項(xiàng)����。該病毒會(huì)實(shí)時(shí)監(jiān)控用戶所打開的進(jìn)程,當(dāng)監(jiān)測(cè)到有"奇跡世界"的進(jìn)程時(shí),則會(huì)進(jìn)行病毒操作���。
"隨機(jī)木馬94250"(Win32.Troj.Winko.u.94250)這是一個(gè)隨機(jī)8位數(shù)木馬變種����。病毒運(yùn)行后會(huì)在系統(tǒng)文件夾生成隨機(jī)8位數(shù)文件����,并注冊(cè)一個(gè)名字是隨機(jī)8位數(shù)的服務(wù),以開機(jī)自啟動(dòng)�。病毒運(yùn)行后會(huì)注入桌面進(jìn)程,監(jiān)控QQ進(jìn)程和窗口��,盜取用戶QQ的號(hào)碼和密碼等信息��。另外��,病毒還會(huì)在每個(gè)分區(qū)釋放U盤病毒����,修改注冊(cè)表以禁用顯示隱藏文件功能����,從遠(yuǎn)程服務(wù)器下載大量病毒文件安裝至本地計(jì)算機(jī)。
一、"奇跡世界盜號(hào)者"(Win32.Troj.Suicide.xx.10528) 威脅級(jí)別:★
該病毒是一個(gè)盜號(hào)木馬�����。病毒成功運(yùn)行后����,會(huì)自刪除病毒源文件,使用戶無(wú)法找到病毒源��,并會(huì)在系統(tǒng)的臨時(shí)文件夾下產(chǎn)生兩個(gè)病毒文件�,分別是:IntelX86.dll和IntelX86.exe,這兩個(gè)病毒具有偽裝性�,模仿系統(tǒng)文件,但是因?yàn)樗诘穆窂讲皇窍到y(tǒng)文件夾system32下��,所以就是病毒�。該病毒還會(huì)自動(dòng)修改啟動(dòng)項(xiàng),當(dāng)用戶在啟動(dòng)系統(tǒng)時(shí)���,病毒也會(huì)隨著系統(tǒng)啟動(dòng)而觸發(fā)運(yùn)行�。當(dāng)病毒運(yùn)行后�,會(huì)注入到explorer.exe進(jìn)程,通過(guò)該進(jìn)程監(jiān)視每一個(gè)正在運(yùn)行的進(jìn)程���。當(dāng)監(jiān)測(cè)到有sungame.exe進(jìn)程時(shí)�,將會(huì)進(jìn)行病毒操作,通過(guò)讀取內(nèi)存的方式���,截取獲得用戶"奇跡世界"的賬號(hào)信息���。并且會(huì)通過(guò)在臨時(shí)文件夾下的IntelX86.dll傳送信息到以下兩個(gè)網(wǎng)址
http://www.*****.net/sun/04/lin.asp
http://www1.*****.com/aiya/sun/zong/lin.asp
使盜號(hào)者順利的盜取用戶的網(wǎng)游信息,造成用戶網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的損失���。
二�����、 "隨機(jī)木馬94250"(Win32.Troj.Winko.u.94250) 威脅級(jí)別:★
該病毒最大特點(diǎn)在于產(chǎn)生的病毒文件名是隨機(jī)的8位數(shù)�����,使用戶無(wú)法輕易捉摸到病毒文件��,他們都產(chǎn)生在系統(tǒng)目錄%system32%下����,并且在各盤中還會(huì)產(chǎn)生auto病毒���,分別是auto.exe和autorun.inf�����,兩個(gè)文件都是具有隱藏屬性����。而且該病毒也會(huì)在注冊(cè)表添加服務(wù)�����,當(dāng)用戶在啟動(dòng)系統(tǒng)時(shí)�,病毒會(huì)隨著服務(wù)一并啟動(dòng)且運(yùn)行。該病毒還會(huì)把系統(tǒng)的隱藏屬性惡意纂改�����,使用戶無(wú)法查看到病毒文件的所在���,當(dāng)用戶在使用鼠標(biāo)左鍵雙擊進(jìn)入各盤符的時(shí)候則會(huì)觸發(fā)病毒���。隨機(jī)名的DLL會(huì)因病毒的啟動(dòng)而注入到explorer.exe系統(tǒng)進(jìn)程,通過(guò)該進(jìn)程監(jiān)控所有打開的進(jìn)程�,當(dāng)發(fā)現(xiàn)有QQ進(jìn)程時(shí)�,則進(jìn)行盜取操作��。該病毒還會(huì)讀取遠(yuǎn)程的文本文件����,通過(guò)讀取該文本文件里的路徑,根據(jù)其配置下載病毒到用戶的機(jī)器上��。最后�����,該病毒還會(huì)通過(guò)U盤傳播�����,只要有人使用U盤接入中該病毒的機(jī)器�,U盤立即被感染,成為一個(gè)新的感染源��。
金山反病毒工程師建議
1.最好安裝專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控���。建議用戶安裝反病毒軟件防止日益增多的病毒�����,用戶在安裝反病毒軟件之后�,應(yīng)該經(jīng)常進(jìn)行升級(jí)����、將一些主要監(jiān)控經(jīng)常打開(如郵件監(jiān)控、內(nèi)存監(jiān)控等)�����,遇到問(wèn)題要上報(bào)����, 這樣才能真正保障計(jì)算機(jī)的安全。
2.玩網(wǎng)絡(luò)游戲����、利用QQ聊天的用戶會(huì)有所增多,所以各類盜號(hào)木馬必將隨之增多�,建議用戶一定要養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣,及時(shí)升級(jí)殺毒軟件����,開啟防火墻以及實(shí)時(shí)監(jiān)控等功能,切斷病毒傳播的途徑�,不給病毒以可乘之機(jī)���。
鄂公網(wǎng)安備 42011102000245號(hào)