【赛迪网-IT技术报道】“蓝屏木马下载器36864”(Win32.TrojDownloader.Winlagons.gi.36864),这是一个木马下载器程序。该程序会关闭一些常见的杀毒软件和安全辅助软件,并修改IE首页内容,启动IE从木马种植者指定网址下载别的木马。随着被下载到电脑中的木马越来越多,系统将无法承受庞大的资源占用,几分钟后,它就可能崩溃。
“网游盗号木马94315”(Win32.Troj.OnlineGamesT.e.94315),这是一个盗号木马。它通过创建注册表启动项实现开机自启动,然后创建线程关闭 “卡巴斯基”和 “瑞星”两款杀毒软件的相关提示窗口。最后查找并盗取网络游戏《大话西游3》、《破天一剑》、《惊天动地》的账号信息。
一、“蓝屏木马下载器36864”(Win32.TrojDownloader.Winlagons.gi.36864) 威胁级别:★★
根据昨日毒霸检测到的病毒发作趋势数据,我们今天首先需要留意的仍是木马下载器。此次抽取出的这个下载器与我们之前多次预警过的大多数木马下载器一样,也具有对抗安全软件的能力——不用说,这已经是木马下载器目前的一个发展趋势了。
在进入用户电脑后,它把自己的病毒文件winlugan.exe释放到系统盘的%WINDOWS%\system32\目录下,并将其写入注册表启动项,让自己能够在每次电脑开机时都跟着跑起来。
如果能顺利运行,病毒就对%WINDOWS%\system32\wbem\Repository\FS\目录下的INDEX.BTR、MAPPING.VER、MAPPING1.MAP、OBJECTS.DATA、OBJECTS.MAP等文件进行数据删改,使得自己掌握对系统命令的控制权。同时,它抢先查找并关闭金山毒霸、麦咖啡、东方微点、卡巴斯基等杀毒软件,以及安全辅助软件360安全卫士的进程,让自己的行动更加自由。
完成以上动作后,病毒就在后台建立远程连接,从http://5y*rscon**a*t.com这个由木马种植者指定的地址下载包括盗号木马在内的大量恶意程序到用户电脑上运行,给用户造成无法预计的损失。由于下载数量大、并且盗号木马进入系统后一窝蜂地注入系统进程,将导致电脑系统被严重占用,几分钟后蓝屏死机。
二、“网游盗号木马94315”(Win32.Troj.OnlineGamesT.e.94315) 威胁级别:★
由于虚拟财产与真实财产的可互换性,网游账号一直是木马制作者眼中的最佳猎物,写个盗号木马放出去,那些拥有顶级装备的网游账号就会自动送上门来,然后只需把装备和账号卖掉,就可以数钱了。正是抱着这种思想,无良程序员们开足了马力,疯狂地制作着各种盗号木马。
毒霸反病毒分析员昨日检测到的一个传播趋势较高盗号木马,它的目标是《大话西游3》、《破天一剑》、《惊天动地》等三款网游。进入系统后,它释放出两个病毒文件,分别是%WINDOWS%目录下的DbgHlp32.exe和%WINDOWS%\system32\目录下的DbgHlp32.dll,并修改注册表实现自启动。接着,此病毒会查找并关闭卡巴斯基和瑞星的注册表监视窗口,切断杀毒软件与用户之间的联系——这是当然,既然要偷你的东西,肯定就不能让你察觉。
病毒注入系统桌面进程explorer.exe 的空间,建立全局监视,查找《大话西游3》、《破天一剑》、《惊天动地》的进程,然后利用内存读取的方式盗取它们的账号信息并发送到木马种植者指定的多个远程地址。给用户造成虚拟财产的损失。
要避免受到盗号木马的侵害,除每天升级毒霸外,最有效的方法是遵守网游规则,不要随便下载未经官方认可的外挂插件,这样可以避免盗号木马混进电脑。此外,对于那些不良网站,最好也避而远之,因为很多时候这类网站会挂有大量盗号木马及其它恶意程序。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
(责任编辑:李磊)
