“AUTO卡机病毒”(Win32.Troj.Delf.1082542),这是一个AUTO病毒。该病毒生成大量伪装成微软文件的病毒文件。病毒运行后会造成计算机运行速度明显变慢,并破坏杀软卡巴斯基的正常使用。它还会从网络中下载大量脚本病毒到IE缓存和IE历史记录里,导致用户在打开网页时,毒霸不停地报病毒。而且还会造成用户无法重启或关闭系统。
“刀剑盗号木马”(Win32.Troj.OnlineGames.dz.77824),这是一个盗号木马。病毒运行后创建注册表启动项,以达到开机自启动。并创建线程,不断修改注册表,禁止系统自动更新和关闭系统防火墙,然后通过内存读写的方式盗取客户计算机上网络游戏《刀剑》的账号信息。
一、“AUTO卡机病毒”(Win32.Troj.Delf.1082542) 威胁级别:★★
这是一个AUTO病毒,其最大特点就是具有较强的伪装性。病毒运行成功后,会在系统各盘中生成AUTO病毒文件,AUTO病毒分别是iexplore.exe和autorun.inf辅助文件。另外,还会在%windows%目录下生成一个伪装的QQ.exe文件。接下来,病毒修改系统日期为2000年,使杀毒软件软卡巴斯基的激活码失效,无法正常杀毒,造成用户计算机系统的安全性大大降低。
当用户使用鼠标左键双击进入有AUTO病毒的盘符时,会无法打开该盘并触发该病毒。一旦被触发,病毒立即从网络下载大量脚本病毒到IE缓存和IE历史记录里,导致用户在打开网页时,毒霸会不停报病毒。该病毒运行时的症状是计算机速度明显变慢,并且,当用户重启或关闭系统时,画面会一直停留在底色桌面,无法进行任何操作。
如强行重启,再打开系统盘,可发现在系统盘根目录下多了好几个exe文件,它们的图标都是IE浏览器的图标。而用金山反间谍查看启动项,会发现有两个异常启动项,名称分别为QQ和Internet Explorer.exe,发行商名称:Microsoft Corporation(微软)。很明显,这些也是病毒的伪装。
二、“刀剑盗号木马”(Win32.Troj.OnlineGames.dz.77824) 威胁级别:★★
这是一个盗号木马,网络游戏《刀剑》是它的作案对象。病毒运行后将自身文件sidjaaz.exe复制至%windir%\system32\目录下,并释放病毒文件sidjacs.dll、sidjazy.dll到该目录中,同时还会释放另一个病毒文件cadaafx.fon到%windir%\Fonts\目录下。随后,病毒创建注册表启动项,以达到开机自启动。
接下来,病毒在system32目录下搜索verclsid.exe(这是windows安全验证的一个相关程序),如果发现此文件,就会创建批处理文件将其删除。同时,它还会删除C:\Program Files\NetMeeting\、D:\Program Files\NetMeeting\、%windir%\system32\ 目录下所有的 cfg 后缀名文件。最后,病毒创建线程,不断修改注册表,禁止系统自动更新和关闭系统防火墙.
通过以上步骤完成对安全系统的破坏后,病毒便以内存读写的方式盗取客户计算机上网络游戏《刀剑》的账号信息,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
(责任编辑:李磊)
