客服电话:400 610 7777
“依然下载者36864”(Win32.Troj.Downloader.yl.a.36864),这是一个下载者病毒,该病毒通过映象劫持技术来使一些安全工具和杀毒软件无法运行,并会不断检测窗口来关闭一些杀毒软件及一些关键字为“木马” ,“杀毒”,“防火墙”, “任务管理器”……之类的窗口。 病毒会在每个分区下释放 AUTORUN.INF 来达到自运行, 运行成功后会下载大量的木马到本地机器运行。
“网游盗号木马352256”(Win32.Troj.OnlineGames.ht.352256),这是一个网络游戏盗号木马。该木马通过从网络上下载配置文件,盗取黑客指定的游戏或者其他程序的帐号,并发送到黑客指定的网站。它的盗取对象有《完美世界》,《魔域》,《诛仙》,“MSN”,“YahooMessenger”等。
一、“依然下载者36864”(Win32.Troj.Downloader.yl.a.36864) 威胁级别:★★
病毒进入电脑系统后,将病毒文件Flower.Exe复制到%WINDOWS%\SYSTEM32\目录和%WINDOWS%\SYSTEM32\drivers\disdn\目录下,并在%WINDOWS%\SYSTEM32\下释放出一个Flower.DLL病毒文件。
随后立即自动检测是否安装杀毒软件卡巴斯基,如有,就修改时间使之失效,并且映像劫持毒霸、金山清理专家、江民、卡巴斯基、瑞星、冰刃等几乎所有主流安全产品,使它们无法正常运行,如果用户试图运行它们,只可能将病毒激活。接着,病毒不断检测窗口标题,如果发现窗口标题与计算机安全有关,就会将其关闭,以阻止用户使用安全软件或系统自带的一些管理工具,甚至造成用户连大部分安全软件厂商的网站都无登录。
病毒在后台建立远程连接,从木马种植者指定的地址下载大量其它病毒,为了使自己下载流畅,它甚至会玩起“黑吃黑”,搜索并劫持系统中其它下载者的运行。
此外,该病毒会在所有硬盘分区下释放出病毒副本,并创建 AUTORUN.INF 文件指向它,使用户一打开分区就激活病毒。如果用户在中毒电脑上使用U盘等移动设备,病毒也会将其感染,借以扩大自己的传播范围。
二、“网游盗号木马352256”(Win32.Troj.OnlineGames.ht.352256) 威胁级别:★★
病毒伪装成一个.scr文件,也就是一个屏幕保护程序。这个.scr文件里包含了两个文件,一个JPG图片,一个EXE文件,EXE文件就是盗号木马。
该.scr程序运行后,会先弹出一张图片,吸引用户注意,接着,它就把病毒文件B831406A9770.exe和B831406A9770.dll释放到系统盘的%WINDOWS%\Debug\目录下。并修改注册表中的数据,将自己设置为随系统启动而运行。
病毒运行起来后,轮番注入系统当前的所有进程,查找《完美世界》,《魔域》,《诛仙》,“MSN”,“YahooMessenger(雅虎通)”等游戏和聊天软件的进程,发现后就通过内存读写的方式盗取帐号密码,并发送至木马种植者指定的地址http://www.m**eintw.com/benz/u.asp,令用户遭受虚拟财产的损失。
标签: