05.02病毒预警:“AUTO分身下载器”劫持杀软、下载病毒
“QQ盗号木马88576”(Win32.PSWTroj.QQPass.dh.88576),该病毒是针对QQ即时聊天工具的盗号木马。病毒运行后会修改注册表增加启动项,破坏QQ医生的运行。然后通过内存读取的方式盗取用户的QQ号和密码,并把密码发送到木马种植者的手上。
“AUTO分身下载器70144”(Worm.Delf.az.70144),这是一个利用AUTO技术进行传播的木马下载器。它会劫持杀毒程序,在各磁盘分区的根目录下生成 AUTO文件autorun.inf 与extensionsk.exe,然后下载其它病毒到用户电脑中运行。该病毒还具有一定的自我保护能力。
一、“QQ盗号木马88576”(Win32.PSWTroj.QQPass.dh.88576) 威胁级别:★
这个QQ盗号木马具有一定的对抗能力。它在进入系统后,抢先搜索QQ医生的进程QQDoctor.exe,将它删除,防止该文件阻挠它进行盗号活动。
同时,病毒在系统盘的%WINDOWS%\System32\目录下释放出病毒文件qqmm.vxd,并将该文件的数据写入系统注册表,实现开机自启动。如果这个步骤顺利完成,病毒就会在用户启动电脑后自动注入到QQ即时聊天工具的进程中,以读取内存的方式获得用户的QQ号及密码。
此外,病毒还会登录病毒作者指定的IP查询网站,获得用户电脑的真实IP地址,然后将IP地址与盗得的QQ号一同发送到病毒作者的邮箱中。
一些病毒作者在掌握了QQ号后,会洗走Q币,并将吉利的QQ号卖掉。而对于那些胃口更大的病毒作者来说,这些QQ号则会被用来传播其它病毒和诈骗原用户的好友,引发更多的网络安全问题。如果发现QQ等即时通讯工具号码被盗,应尽快向运营商举报和通知好友,以尽可能挽回损失。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-qqpass-dh-88576-50575.html
二、“AUTO分身下载器70144”(Worm.Delf.az.70144) 威胁级别:★★
这个病毒是一个下载器,由于使用了AUTO技术,它的传播能力较高。该毒进入系统后,立刻在系统盘%WINDOWS%\System32\目录下释放出病毒文件Extensionsk.exe,并将该文件复制到所有的磁盘分区根目录下,同时生成的还有指向该文件的autorun.inf文件。只要有了这两个文件,该病毒也就具备了AUTO传播的能力。如果用户在中毒电脑上使用U盘等移动存储设备,病毒就能自动复制到该设备中。
接下来,病毒会修改系统注册表,将Extensionsk.exe设置为启动项,实现开机自动运行。只要实现这一步,病毒会马上把系统时间改为2005-10-31,让依赖系统时间进行激活和升级的安全软件瘫痪,并添加映像劫持项目,劫持目前较为常见品牌的杀毒软件,让它们失效。如果用户试图启动这些杀毒软件,只会不断激活病毒。
然后,病毒试图连接病毒作者指定的远程服务器http://www.h***ui.org/UpFile/UpFace,下载其它病毒文件到用户电脑中运行。不过毒霸反病毒工程师检查后发现,该地址已经失效。
在进行以上动作的同时,病毒会删除自己的原始文件,防止被用户找到。并建立两个svchost.exe进程,将自身的病毒代码写入其中运行。这两个svchost.exe会互相监视对方,互为防守,这样一来,用户就算删除掉其中一个,另一个也能瞬间进行恢复。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/worm-delf-az-70144-50576.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年5月2的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
此条发布在 星期三, 04月 30th, 2008 at 7:00 pm 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。
