客服电话:400 610 7777
“AUTO下载器253952”(Worm.AutoRun.m.253952),该毒是个木马下载器。病毒运行后在后台悄悄下载大量的木马病毒文件并运行。此病毒在所有磁盘分区的根目录下创建AUTO病毒,以便快速传播自己。它还利用映像劫持令安全软件失效。
“PE键盘盗号器”(PE.OnlineGame.ak),这是一个键盘记录程序。它能够记录用户输入的各种数据,然后通过电子邮件方式发送到病毒作者手中。
一、“AUTO下载器253952”(Worm.AutoRun.m.253952) 威胁级别:★
病毒进入用户系统后会在各磁盘的根目录下生成名为winsvcui.exe和autorun.inf的病毒文件,当用户在中毒电脑上使用U盘等移动存储设备时,病毒就可以将其感染,实现传播。另外,在%WINDOWS%\system32\drivers\目录下,它还会生成病毒驱动文件ntcfg.sys和winmons.sys。
接着,它修改系统%WINDOWS%\system32\dllcache\目录和%WINDOWS%\system32\drivers\目录下的beep.sys,此文件用于控制系统的安全报警音,当它被修改后,无论病毒如何破坏系统,电脑都不会有任何报警。
与此同时,病毒利用之前释放出的驱动文件,试图映像劫持一些主流的安全软件,如金山毒霸、360安全卫士、卡巴斯基、QQ医生、NOD32等。如果劫持成功,那么这些安全软件都会瘫痪。
最后,病毒连接到指定的远程地址,下载更多其它病毒文件执行,引起更多无法预料的破坏。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/worm-autorun-m-253952-50865.html
二、“PE键盘记盗号器”(PE.OnlineGame.ak) 威胁级别:★
病毒是由高级语言所编写。它将自身主文件的副本SysSevenSowrd.exe和SevenSowrdSrv.exe释放到用户电脑系统中,并添加它们到注册表启动项里,让自己实现开机自启动。
与exe文件同时释放出的,还有病毒的驱动文件Sevenlog.sys,此文件负责执行键盘记录工作。当主文件运行起来,就会调用它,过滤用户通过键盘输入的信号,从中取得键盘纪录。
同时,它会记录用户电脑的机器名称、IP地址等信息,将它们和偷到的键盘记录数据一起发送到病毒作者指定的邮箱。它采取循环发送的方式,每隔一分钟发送一次,这样,就可以保证病毒作者能源源不断地获取用户输入的数据。
这类病毒通常用于盗窃用户的网游帐号,但也会对用户的网银帐号或商业机密构成威胁。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/pe-onlinegame-ak-50866.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年8月12的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: