客服电话:400 610 7777
“打包捆绑机498688”(Win32.Binder.XYBind.d.498688),这是一个捆绑机病毒。“黑客”可利用它将一个正常的程序和病毒打成一个包,如果用户运行该程序,病毒就会跟着运行起来,从而对用户的机器造成破坏。捆绑型病毒通常见于从小型下载网站或黑客、外挂等网站下载的程序。
“魔兽帐号盗贼348160”(Win32.PSWTroj.WOW.348160),该病毒是针对网络游戏《魔兽世界》的盗号木马。病毒运行后会修改注册表增加伪系统服务,注入桌面进程,通过设置消息钩子的方式来盗取游戏的账号和密码。
一、“打包捆绑机498688”(Win32.Binder.XYBind.d.498688)威胁级别:★
捆绑机病毒本身并没有恶意行为,其主要作用是将正常文件和病毒文件捆绑在一起,并在用户运行正常文件时将病毒释放出来。正常情况下,用户运行程序时,程序的进程是位于它的当前目录下的,但如果是含有此病毒的程序,它的进程就会出现异常。
用户如使用能显示进程路径的进程查看工具,查看含有此病毒的程序进程,可发现该进程的路径指向是在系统盘的%DocumentsandSettings%\用户名\LocalSettings\Temp\目录下。这表明该病毒已经将正常文件与被捆绑病毒同时释放到此目录下。
由于被捆绑的病毒是任意的,所以系统可能出现许多不确定的疑似病毒现象,一旦发现这种情况,应立刻断网,进入全模式查毒。捆绑机病毒通常出现于从黑客、外挂程序类网站或小型站点下载的文件中,因此,用户下载文件后应切记使用杀毒软件进行扫描。
二、“魔兽帐号盗贼348160”(Win32.PSWTroj.WOW.348160)威胁级别:★★
病毒进入电脑系统后,在系统盘的%WINDOWS%\system32\目录下释放出三个病毒文件,分别为mseam.sys、ydmhsfl.dll、yld32.dll。随后,它修改注册表中的相关数据,将自己加入启动项,实现开机自动运行之目的。同时,为迷惑用户,它会把自己注册为系统文件。如果用户查看其进程属性,可看到它把自己描述为“Windows套接字2.0Non-IFS服务提供程序支持环境”。
当病毒顺利运行起来,它就将之前生成的病毒文件ydmhsfl.dll和yld32.dll注入到系统桌面进程Explorer.exe当中,寻找网络游戏《魔兽世界》的进程,然后展开消息监视,从用户与游戏服务器之间的通讯信息中截获帐号密码等信息。
如果得手,病毒就在用户无法察觉的情况下建立远程连接,把盗取得到的账号信息发送到http://www.*****.com/PLtyd.asp这个由木马种植者指定的地址,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年2月11的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: