关注恶意软件:
恶意软件名称:“网游大盗”木马(Trojan-GameThief.Win32.Magania.bful)
恶意软件类型:木马
长度:24686字节
加壳方式:UPX
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
“网游大盗”木马具体表现:
此木马变种极多,已发现的就有超过230种。该木马一般通过网页挂马或者被下载器下载的方式感染用户计算机。感染后,它会在计算机磁盘上创建以下文件:
C:\WINDOWS\Fonts\YE8Yb4xPtN.fon C:\WINDOWS\Fonts\zZ5kDff9es3wZ9YZ.Ttf
同时创建大量注册表项目,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1892A9AF-1612-4256-93D2-1934DB1C1DA2} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1892A9AF-1612-4256-93D2-1934DB1C1DA2}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1892A9AF-1612-4256-93D2-1934DB1C1DA2}\InprocServer32 @ "C:\WINDOWS\fonts\YE8Yb4xPtN.fon" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1892A9AF-1612-4256-93D2-1934DB1C1DA2}\InprocServer32 ThreadingModel "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {1892A9AF-1612-4256-93D2-1934DB1C1DA2} 其主要行为还包括创建线程释放文件C:\WINDOWS\Fonts\YE8Yb4xPtN.fon,释放后便调用其中的导出函数JUFndB4pARSJ。JUFndB4pARSJ被调用后会将YE8Yb4xPtN.fon注入到所有进程中,安装钩子准备截获网游账户和密码信息。同时它还会创建注册表项,使得YE8Yb4xPtN.fon可以随机启动。
恶意进程运行后,会自动搜索大话西游3的进程,搜索到后即将其结束,用户再次启动游戏输入账户和密码信息时,即被窃取。
卡巴斯基已经可以查杀“网游大盗”木马及其变种,建议您尽快安装卡巴斯基安全软件并将病毒库升级到最新,以免因感染给您造成不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论