客服电话:400 610 7777
“间谍永动机192512”(Win32.TrojDownloader.Agent.192512),这是一个黑客程序。它的实质是一个记录器,能够非法记录当前的窗口和文本,并发送到病毒作者指定的黑客服务器上。
“病毒下载器81920”(Win32.Hack.PcClient.al.81920),这是一个病毒下载器。它会利用系统进程加载自己,实现启动,然后创建一个隐形窗口,秘密下载大量的其它病毒。
一、“间谍永动机192512”(Win32.TrojDownloader.Agent.192512)威胁级别:★★
此记录器的记录范围较广,用户在电脑中打开的任何窗口与输入的所有文本,都会被它记录下来。
该毒通过自己在%windows%目录下释放出的msus.dll和update_srv.exe来执行命令,它将update_srv.exe写入注册表启动项,实现开机自动运行。顺利运行后就加载msus.dll,执行函数,读取当前的窗口以及文本,写入到%windows%\msus.lf文件中,并且每隔30秒将信息发送到ftp.***od.Ru。
如果能发送成功,该毒就删除之前的msus.lf文件,然后创建一个新的,开始下一轮的记录。从理论上说,只要该毒不被发现,它就能持续不断地偷盗用户的数据。另外,毒霸反病毒工程师认为,由于电脑中储存大量敏感数据的原因,商业用户受该毒威胁的程度会比较大。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-trojdownloader-agent-192512-51947.html
二、“病毒下载器81920”(Win32.Hack.PcClient.al.81920)威胁级别:★
该毒运行后,释放名为avtapit.dll的病毒文件到%WINDOWS%目录中,它利用svchost.exe进程加载自己,并建立一个隐形的窗口,悄悄连接病毒作者指定的远程地址http://4.guz******jin.com/bige,下载一个名为MsWino.dat的文件。
此文件中含有包括下载列表在内的最新配置信息,读取地址后,该毒就可以下载更多的其它病毒到用户电脑中运行,给用户带来无法预料的麻烦。
所有的病毒会被下载到%WINDOWS%\system32\下目录下执行,如发现该目录中出现大量异常文件,则需要提高注意。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hack-pcclient-al-81920-51948.html
反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
标签: