"EXE感染号a"(Win32.Troj.Bills.a)这是一个这是一个感染型病毒,感染非系统盘下以exe结尾的文件并产生一个_desktop.ini文件,关闭常见的安全软件,通过网络下载其他木马程序,生成注册表自启动,在每个盘根目录下产生autorun.inf病毒文件。
"热血之盗81920"(Win32.PSWTroj.OnLineGames.81920)这是一个网络游戏<<热血江湖>>的盗号木马。病毒运行后会衍生病毒文件到系统路径下,把盗取的账号信息通过网页提交的方式发送到木马种植者手上。
一、"EXE感染号a"(Win32.Troj.Bills.a) 威胁级别:★★
1.生成autorun文件。
在每个盘符下生成autorun.inf和pif.exe并设成系统隐藏属性。
2.当监测到有以下进程则自动被病毒关闭。
ravmon.exe、Ravtask.exe、Ravmon.exe、Mcshield.exe、VstskMgr.exe、
naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、RavmonD.exe、TrojDie.kxp、FrogAgent.exe、
rundll32.exe、spoclsv.exe
|
3.通过网络下载其他木马等程序。
病毒每隔一段时间连接网络进行更新,从http://mm.2***0.com/txt.txt下载配置文件进行其他木马病毒的下载。
4.病毒不感染某些特定的文件。
如Cs.exe、cstrike.exe、FSOnline.exe等一些文件。
二、"热血之盗81920"(Win32.PSWTroj.OnLineGames.81920) 威胁级别:★
1.生成文件:
%sys32dir%\rarjani.dll
%sys32dir%\rarjbpi.dll
%sys32dir%\rarjbtl.exe
%Windir%\Fonts\chreaur.fon
|
2.病毒会通过读取内存的方式来盗取网络游戏<热血江湖>的账号和密码。
3.病毒运行后会生成一个.bat文件来实现自删除。
4.病毒会把盗取到的账号和密码通过网页提交的形式发送到木马种植者的手上。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。(责任编辑:李磊)
