客服电话:400 610 7777
“奇迹盗号木马143360”(Win32.PSWTroj.OnlineGames.qj.143360),这是一个盗号木马,能盗取用户计算机上的网络游戏《奇迹世界》的帐号信息。病毒文件会替换游戏主程序,骗取用户通过病毒伪装的主程序登录,以截获用户的帐号和密码。
“广告弹射器401408”(Win32.Troj.Agent.um.401408),这是一个广告木马程序变种。它会阻止安全软件向用户报告系统异常,并自动登录木马种植者指定的网页,为它们“贡献”流量。此木马还具有自动更新功能。
一、“奇迹盗号木马143360”(Win32.PSWTroj.OnlineGames.qj.143360) 威胁级别:★
病毒进入用户系统后,在系统盘根目录下创建一个“Recycler”文件夹,然后把病毒文件qj.exe和qj.dll释放到里面。然后搜索电脑中是否存在“瑞星”杀毒软件的进程,如果没有,就进行下一步动作。
它搜索网络游戏《奇迹世界》的主程序“VMModule._ex”,将其改名为“SNU.exe”,并设为隐藏模式。接着,把病毒文件qj.exe复制到VMModule._ex所在的文件夹,并把它改名为“VMModule._ex”,俨然扮成游戏主程序的模样。把自己伪装成游戏主程序的好处,在于可能让用户点击病毒文件进入游戏,趁机截获用户输入的密码。
如果这一招不灵,病毒还有留有一手。它在完成以上动作的同时,也会把qj.dll文件注入到系统桌面进程中,查找游戏进程,以内存读写的方式盗取帐号和密码。
二、“广告弹射器401408”(Win32.Troj.Agent.um.401408) 威胁级别:★
病毒进入电脑后,在系统盘中释放出7个病毒文件,分别是%WINDOWS%目录下的mwinsys.ini,%WINDOWS%\system32\目录下的AlxRes070826.exe,
%WINDOWS%\system32\inf\目录下的scrsys070826.scr、scrsys16_070826.dll、winsys16_070826.dll和winsys32_070826.dll。如果用户电脑上设置有D盘,病毒也会在其根目录下生成一个病毒文件myplayer.com。文件释放完毕后,病毒就在系统盘根目录下生成一个myDelm.bat批处理文件,利用它将自己的原始文件删除,使用户无法查到病毒源。
病毒修改注册表中的数据,实现开机自运行后,就立即查找目前主流的安全软件的进程,将它们的警告提示框和任务窗口全部关闭。这样,它接下去的破坏行为便可畅通无阻。
然后,病毒悄悄连接木马种植者安排的远程服务器,下载一份网页地址列表,按其中的地址去自动登录广告网站,为它们“贡献”流量。同时,它还会从211.1*5.*0.2*8:8080这个由木马种植者指定的地址下载升级文件,实现自我更新。
需要提及的时是,该病毒为扩大自己的传播范围,会试图利用QQ进行传播,大家应提高警惕。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年2月14的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: