“机器狗变种11636”(Win32.Troj.Agent.dz.11636),这是一个可以穿透还原软件的病毒。病毒通过直接读写文件簇来绕过一些文件过滤系统的监视,病毒会释放一个驱动来实现还原软件的穿透,并修改系统文件USERINIT.EXE,中毒后每次开机就会下载大量木马到本地运行。
“破天木马151552”(Win32.PSWTroj.OnlineGames.qi.151552),该病毒是网络游戏《破天一剑》的盗号木马。病毒运行后会衍生病毒文件至系统目录下,并注入系统进程,伺机盗取用户的账号和密码等信息,并通过网页提交的方式发送到木马种植者手上。
一、“机器狗变种11636”(Win32.Troj.Agent.dz.11636) 威胁级别:★★
病毒进入系统后,会释放病毒文件pcihdd.sys到 %WINDOWS%\system32\drivers\目录下,并立刻运行起来。它首先判断用户系统是否正接受着冰点还原软件和硬盘保护卡的保护,如果有,它便解除冰点还原软件和和硬盘保护卡对系统的保护。
然后,病毒展开搜索,看看用户的windows操作系统中是否存在MS06-014和MS07-017等多个漏洞,同时也查看其它应用软件是否存在安全漏洞,如有,它接下来会查看目前的网络链接是否通畅。
只要确定网络链接畅通,病毒就在用户无法知晓的情况下建立远程连接,从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等木马种植者指定的网址下载大量盗号木马,盗取《传奇》、《魔兽世界》、《征途》、《奇迹》等多款网络游戏的账号和密码,严重威胁游戏玩家虚拟财产的安全。由于冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。
需要注意的是,此病毒运行完成后会删除自身,销毁曾进入过电脑系统的证据,使用户无法理解自己是怎么中的毒。
“破天木马151552”(Win32.PSWTroj.OnlineGames.qi.151552) 威胁级别:★
病毒进入用户的电脑系统后,会在系统盘中释放出两个病毒文件,分别为系统根目录的 %WINDOWS%下的MsPrint32D.exe,以及%WINDOWS%\system32\目录下的MsPrint32D.dll。并修改注册表启动项,将自己的相关信息加入其中,以达到随系统自动启动之目的。完成这个过程后,病毒就会自动删除原文件,避免被用户发现。
当病毒开始运行,它会注入到系统的桌面进程Explorer.exe,以及其它非系统进程当中,不断搜索网络游戏《破天一剑》的进程,一旦发现,就立即建立消息监视,从用户与游戏服务器之间的通信中筛选用户的账号和密码等信息。
如果得手,就在后台建立远程连接,以网页提交的方式把赃物发送到http://den*******.skpay.net.cn/hu111/post.asp这一由木马种植者安排好的网址当中,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
(责任编辑:李磊)
