客服电话:400 610 7777
“对抗型网游盗号器61440”(Win32.Troj.GameOnlineT.xx.61440),这是一个盗取《QQ华夏》、《QQ三国》,《风火之旅》等游戏帐号密码的木马。它具有一定的对抗能力,能破坏一些常见安全软件的进程。
“脚本下载器34646”(VBS.DNAOrder.fa.34646),这是一个下载器程序。它利用系统自身的RAS Phonebook进行拨号连接,以便从病毒作者指定的远程服务器下载木马。
一、“对抗型网游盗号器61440”(Win32.Troj.GameOnlineT.xx.61440) 威胁级别:★
病毒进入系统后,释放出四个病毒文件,分别是%WINDOWS%\system32\目录下的MMWLANGH1006.exe和MMWLANGH1006.dll,以及%WINDOWS%\system32\drivers\Hdv32.sys和Hdv32_C.sys。其中,MMWLANGH1006.exe是病毒主文件,它会被写入注册表中,实现整个病毒的开机自启动。
至于那两个.sys文件,它们是病毒的驱动,用于恢复SSDT,解除一些具有所谓主动防御功能的杀毒软件的武装。而MMWLANGH1006.dll是病毒的任务执行模块,它会查找并结束掉AVP.exe、360Tray.exe、Ravmond.exe等众多的杀毒软件进程。
同时,病毒会检查系统中是否有《QQ华夏》、《QQ三国》,《风火之旅》等游戏的进程,找到就注入其中,盗取帐号和密码。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-gameonlinet-xx-61440-50873.html
二、“脚本下载器34646”(VBS.DNAOrder.fa.34646) 威胁级别:★
此下载器进入系统后会释放出大量病毒文件,但大多数都是同一个副本。病毒主文件sample.exe.Exe被释放到系统盘根目录下后,就会立即运行。
它读取注册表中RAS Phonebook的数据,以便在用户不知情的情况下建立远程连接。如果可以成功连接到病毒作者指定的远程地址http://a*z*an.3**2.Org,该毒就会下载另一个木马程序。被下载的木马,根据病毒作者的安排可能是各种功能的。下载成功后病毒就建立自删除程序,将自己的原始文件删除,减少被用户发现的可能。
由于病毒本身是个VB脚本,因此它比较容易利用网页挂马传播,用户最好启动金山清理专家中的防挂马功能。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/vbs-dnaorder-fa-34646-50874.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年8月16的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
标签: