客服电话:400 610 7777
“网银黑客盗号器61440”(Win32.Hack.Agent.61440) 威胁级别:★★
这个病毒在对抗安全软件方面下了些功夫,目的是盗窃用户的网银帐号。
病毒进入系统后,释放出四个病毒文件,分别是%WINDOWS%\system32\目录下的explore.exe、%Windows%目录下的ponto.DLL和1.exe,以及%WINDOWS%\system32\drivers\目录下的beep.sys。
这里需提及的是,explore.exe与beep.sys在系统中本身就存在。前者是系统桌面文件,用自己的文件将其替换,能够便于病毒监视各种进程;后者则为系统用于提供控制系统发音,替换掉它,可以降低用户获知系统异常的机会。从而让病毒能够躲避查杀。
完成以上工作,病毒就修改注册表,把主文件1.exe加进启动项,实现开机自启动。并记录下用户通过IE浏览器上网时输入的类似银行帐号和密码的数据,然后悄悄连接病毒作者指定的地址http://www.silvana****.kit.net,将记录到的数据发送出去。造成用户的帐号泄露,遭受财产损失。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-agent-61440-50753.html
此外值得关注病毒
“还原卡破坏者73728”(Win32.TrojDownloader.Agent.73728) 威胁级别:★★
这个下载器在对抗系统安全模块方面做了许多工作,它能绕开安全模块的监视,非法连接远程服务器,甚至还可以穿透还原卡。
病毒在进入电脑后,释放自己的文件tubv.exe到%WINDOWS%目录中。立刻修改系统%WINDOWS%文件夹中的系统桌面文件explorer.exe,同时将正常的原文件复制到%WINDOWS%\system32\目录中。接着就运行起来,打开本地端口协议UDP端口。
然后,病毒在C盘根目录下生成一个emsf3.bat文件和一个rmeslf.bat文件,用它们删除病毒的原始文件和那个被修改过的explorer.exe,销毁自己到过电脑的证据。
完成以上工作后,该病毒利用打开的端口,连接病毒作者指定的地址http://jqm.htitm***.cn,下载一份病毒列表,再根据其中的地址,下载数十个其它病毒。经毒霸反病毒工程师检查,这些病毒都是各种个样的盗号木马。会盗窃多种网游和网银的帐号信息。
毒霸反病毒工程师还发现,该下载器针对网吧等场所的电脑,配备有对抗还原卡功能。它可以利用磁盘驱动技术,穿透还原卡保护,从而让自己所下载的这些木马长久地驻留在受害电脑中。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-agent-73728-50754.html
“劫持者下载器397312”(win32.Troj.WeHit.397312) 威胁级别:★★
最近具有对抗杀毒软件能力的木马下载器又开始出现增多迹象。本篇预警播报中的病毒就是一个对抗型下载器。它和它的若干变种频繁出现于网络中。
病毒进入电脑后,释放文件ccwlae080420.exe、ccwld32_080420.dll、ccwld16_080420.dll到%WINDOWS%\system32\目录中。如释放成功,则在文件%WINDOWS%目录下生成一个ccwl16.ini文件,并在其中记录相关信息。
病毒利用映像劫持技术,修改注册表,使目前市面上常见的多款杀毒软件瘫痪,并加载之前释放出的dll文件,修改IE浏览器的默认首页,使得用户在启动IE时,会被引导到病毒作者指定的网站。同时,病毒建立远程连接,下载大量的盗号木马。
该毒以及它所下载的木马,都会被毒霸完全清楚,已安装毒霸的用户可以放心。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-wehit-397312-50782.html
金山毒霸反病毒工程师建议
1.请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。
2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。
3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年7月13日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
标签: