“广告宣传单”(Win32.Troj.Autorun.ex.983040木马病毒运行后会关闭瑞星、卡巴斯基、360安全卫士等安全软件的进程,尝试将自身写入IE保护工具白名单……
一、“广告宣传单983040”(Win32.Troj.Autorun.ex.983040) 威胁级别:★
病毒进入系统后,首先将自己的病毒文件ridiap080124.exe复制至%WINDOWS%\\system32\\目录下,并在系统盘中生成四个病毒文件,分别是%WINDOWS%\\目录下的ie.ini,%Documents and Settings%\\All Users\\「开始」菜单\\程序\\启动\\目录的word.lnk,%WINDOWS%\\system32\\目录下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。释放完文件后,病毒就建立批处理程序,把自己的原始文件删除,使用户无法发现病毒源。
病毒会利用word.lnk快捷方式指向病毒主文件ridiap080124.exe来达到开机启动,然后查找“瑞星”和“卡巴斯基”等的警告窗口,如发现则模拟发送按钮消息跳过查杀。同时还注入系统桌面的进程iexplorer.exe,在进程中查找并关闭“瑞星”、“卡巴斯基”、“360安全卫士”等安全软件的进程。
解决掉安全软件后,病毒尝试将自身伪装成Browser Helper Objects的进程(微软IE浏览器对第三方程序员开放交互接口的业界标准),并将自己添加到IE保护工具白名单中,删除系统中用于记录网址的hosts文件,为自己接下来的破坏行为铺平道路。
如顺利完成以上工作,病毒便连接木马种植者指定的地址,获取一份网址信息,自动登录其中的网站,为它们增加访问和“贡献”流量。同时,它还会利用QQ窗口传播包含病毒信息的消息,扩大自己的传播范围。
二、“传奇盗号木马9900”(Win32.Troj.LmirT.by.9900) 威胁级别:★★
病毒进入用户的电脑系统后,在系统盘%WINDOWS%目录下释放出病毒文件192896M.exe和192896MM.DLL,并修改系统注册表,把自己设置为随系统启动而自动运行。
当病毒运行起来,会迅速查找毒霸、卡巴斯基、瑞星、360安全卫士等安全软件的进程,发现后将它们强行中止。然后在后台连接http://www.f**3.com:7*7/这个地址,下载一个名为MyUnBoundMB.uib的文件。这个动作对病毒的作案比较重要,因为该文件可帮助病毒绕开游戏密保的保护。
随后,病毒将之前生成的192896MM.DLL注入到系统桌面进程explorer.exe中,查找网络游戏《传奇》的进程。如果找到,就注入其中,通过读取游戏内存的方法获得帐号密码,并通过网络发送到木马种植者指定的地址,使用户遭受虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。(作者: CC)
来源:IT专家网
 |
|
发 表 评 论 |
- 企业推广
- 企业服务
