客服电话:400 610 7777
“干扰者下载器”(Win32.Troj.AutoRun.sd.184320),这是一个下载器。该病毒运行后,会立即从网络上下载大量的病毒,盗取用户的游戏帐号。由于该病毒会注入很多DLL到系统进程中,所以会导致系统运行不稳定。病毒还会逃避杀毒软件的查杀。
“网游盗号木马57344”(Win32.Troj.OnlineGames.ez.57344),这是一个能盗取多个网络游戏帐号的盗号木马。它运行时创建线程,检测卡巴斯基和瑞星的警告窗口并将其关闭。病毒盗得帐号信息后会将其发送至木马种植者指定的接收网址。
一、“干扰者下载器”(Win32.Troj.AutoRun.sd.184320) 威胁级别:★
病毒潜用户的电脑系统后,在系统盘的%WINDOWS%\system32\目录下释放出两个随机命名的病毒隐藏文件,其中一个为.EXE格式的病毒主程序,另一个是稍后用来注入作案对象的.DLL格式文件。
除了这两个病毒文件,病毒还会搜索用户系统中的全部磁盘分区,在它们的根目录下生成AUTO病毒文件auto.exe及autorun.inf。此后,只要用户双击鼠标左边打开含毒磁盘,或者在中毒电脑上使用U盘等移动存储设备,病毒就会立即发作,并再次感染所有磁盘分区。
当病毒修改注册表启动项的相关数据,使自己自动运行起来后,立刻强行关闭用户系统的WINDOWS防火墙和常用的杀毒软件。失去保护伞的电脑,将极易遭受恶意程序的攻击。此处需注意的是,它会伪装成本地帐户管理进程以迷惑用户,用户查看其属性时,可发现它的显示名称为“LocalSystem”
接着,病毒将之前生成的.DLL格式文件注入到系统进程svchost.exe中,利用该进程的空间运行自己,从而避免被用户发现。它会先从网上下载一个配置文件,然后根据该文件里的病毒下载列表去下载更多的其它木马病毒。由于病毒作者可以随时更改病毒的配置文件,该病毒也就具备了更新功能。
此外,病毒在运行时会不断监视自己生成的AUTO病毒文件和注册表服务项是否存在,如果不存在就马上重新生成。并且,病毒作者还在代码里面加入了大量的垃圾代码,从而干扰安全软件厂商的分析人员和资深用户。
二、“网游盗号木马57344”(Win32.Troj.OnlineGames.ez.57344) 威胁级别:★
病毒进入系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%目录下的cmdbcs.exe和%WINDOWS%\system32\目录下的cmdbcs.dll。并修改系统注册表相关数据,使自己能随系统启动而自动运行。
如果得以顺利跑起来,病毒首先会搜索杀毒软件卡巴斯基和瑞星的警告窗口,并立即将其关闭,使得用户无法知晓系统中的异常。接着,它就注入到系统桌面进程 explorer.exe的空间内,查找是否存在网络游戏《热血江湖》、《彩虹岛》、《惊天地动》和在线对战平台“浩方”的帐号信息。
如果得手,病毒就会在用户无法知晓的情况下建立远程连接,把盗取所得的帐号信息发送至http:/ /j*1.so***jj.com/cchh/lin.asp?ks这个由木马种植者指定的接收网址,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年2月7的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: