客服电话:400 610 7777
“赤壁盗号者24576”(Win32.PSWTroj.XYOnline.24576),这是一个网游盗号木马。它的目标是《赤壁》玩家的帐号和密码,会把偷到的数据发送到病毒作者指定的远程地址。
“胃癌下载器81920”(Worm.AutoRun.m.81920),这是一个木马下载器。它能够利用AUTO技术进行自动传播,并且由于它把一些关键代码放在新创建的系统文件进程中执行,更具有隐蔽性。另外,它还拥有对抗常见安全软件的能力。
一、“赤壁盗号者24576”(Win32.PSWTroj.XYOnline.24576)威胁级别:★
此盗号木马的作案过程比较简单。它进入用户的电脑系统后,释放出子文件HBCHIBI.dll和System.exe文件到系统盘的%WINDOWS%\system32\目录下,同时还释放一个HBKernel32.sys文件到%WINDOWS%\system32\drivers目录下。
其中,System.exe与HBKernel32.sys会被写入系统注册表启动项,让病毒实现开机自启动。而HBCHIBI.dll则会在病毒运行起来后被注入到系统桌面进程中搜索《赤壁》的进程,如有发现就注入其中,盗取玩家输入的帐号和密码信息。
盗窃成功后,赃物会被发送带病毒作者指定的远程地址http://www.1***700.cn/中,给游戏玩家造成虚拟财产的损失。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-pswtroj-xyonline-24576-51951.html
二、“胃癌下载器81920”(Worm.AutoRun.m.81920)威胁级别:★★
此毒在传播上,由于利用了AUTO技术对U盘等移动存储设备进行感染,因此传播速度比较快。
在进入用户系统后,病毒首先释放副本weiai.exe(病毒中文名由此而来)到%WINDOWS%\system32\目录中,属性设置为隐藏,对其加密的字符串进行解密。
该毒判断当前系统内是否存在常见安全软件的进程,如存在则尝试结束进程,并劫持其进程。包括金山毒霸、瑞星、卡巴斯基、360安全卫士等常见的安全软件都是它的对抗目标。
在关闭安全软件的同时,它还会监视IE浏览器,只要发现用户搜索任何与电脑安全有关的信息或登录安全厂商的网站,就关闭浏览器,阻止用户向外求助。
当解决掉安全软件,该毒就开始执行下载任务,下载大量的其它木马到电脑中运行,并在各磁盘分区中建立AUTO文件,等待下一次的传播机会。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/worm-autorun-m-81920-51952.html
反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
标签: