“网游盗号木马165969”(Win32.PSWTroj.OnlineGames.kl.165969),该木马是针对网络游戏《魔域》和“浩方”对战平台的盗号木马。病毒运送行后会衍生病毒文件至系统目录下,并创建服务以达到自启动的目的,然后注入游戏进程窃取账号密码。
“间谍感染虫151552”(Worm.AutoRun.al.151552),这是一个用Delphi编写的最新logogo变种。病毒运行后会释放病毒文件至系统文件夹和每个硬盘根目录,劫持大部分杀毒软件及安全工具。病毒会感染硬盘中几乎所有exe文件,然后收集用户计算机名,操作系统版本,MAC地址等信息等,发送至远程网址,统计中毒者人数。另外,病毒还尝试从网络下载大量恶意程序安装至本地计算机。
一、“网游盗号木马165969”(Win32.PSWTroj.OnlineGames.kl.165969) 威胁级别:★
病毒进入电脑后,释放出三个病毒文件,分别为%WINDOWS%目录下的TIMHost.exe,以及%WINDOWS%\system32\目录下的SVKP.sys和TIMHost.dll,然后修改注册表启动项,把自己主文件TIMHost.exe的相关数据写入其中,实现开机自启动之目的。
病毒运行后,在系统中查找网络游戏《魔域》和“浩方”对战平台的进程,如果发现,就把DLL文件加载到其中,利用读取内存的方式盗取用户的账号信息。
如成功得手,病毒就在用户无法察觉的情况下建立远程连接,通过网页提交的方式把相关信息发送到木马种植者指定的网址http://www.x*****520.com/zhanggui3/lin1.asp,给用户造成虚拟财产的损失。
二、“间谍感染虫151552”(Worm.AutoRun.al.151552) 威胁级别:★
如果病毒顺利进入了用户系统,它会在系统盘的%WINDOWS%\Fonts\system\目录下释放出病毒主文件ati2evxx.exe,并在全部磁盘分区的根目录下生成AUTO病毒文件ntldr.exe和autorun.inf。只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会立即将其传染。
文件释放完毕后,病毒修改系统注册表启动项中的相关数据,使自己实现开机自启动。当它运行起来,就迅速查找并劫持已安装的安全软件,造成它们失效,几乎所有著名安全软件都在它的“黑名单”中。而被解除武装的电脑,会很容易受到外部恶意程序的攻击。
接着,病毒搜索并感染电脑上的EXE文件,除系统目录、QQ聊天软件,以及少数游戏程序漏网之外,几乎所有EXE文件都会被感染。它会向被感染的文件中新增.ani节,并修改入口点为病毒的代码起始位置,被感染文件运行后会释放一个名为ani.ani的临时文件并运行,然后使用ani.ani.bat删除自身,使得用户无法找到病毒源。
完成以上步骤后,病毒就开始收集用户计算机名字和网卡物理地址等信息,发送至木马种植者指定的远程网址http://i*2.3**86.com,并统计中毒者人数。同时,它还尝试连接hxxp://m.8q8.xxx、hxxp://a.9gg.xxx、hxxp://f.935425.xxx等多个由木马种植者指定的地址,下载更多恶意程序至用户计算机。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
(责任编辑:李磊)
