关注恶意软件:
恶意软件名称:“玛格尼亚家族”网游盗号木马(Trojan-GameThief.Win32.Magania.biht)
恶意软件类型:木马
长度:28259字节
加壳方式:UPX
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
具体表现:
“玛格尼亚家族”的网游盗号木马一般通过网页挂马或者下载器下载等方式感染用户计算机。一旦感染,它会在用户计算机释放以下文件:
%SystemRoot%\Fonts\n9335WyWz.Ttf %SystemRoot%\system32\eThZrkpVeaM3wcX.dll
并且会删除以下文件: %SystemRoot%\system32\verclsid.exe
同时,创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E55A9F5-EEA3-4334-9906- F2FB3C821153} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E55A9F5-EEA3-4334-9906- F2FB3C821153}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E55A9F5-EEA3-4334-9906- F2FB3C821153}\InprocServer32 @ "C:\WINDOWS\system32 \eThZrkpVeaM3wcX.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E55A9F5-EEA3-4334-9906- F2FB3C821153}\InprocServer32 ThreadingModel "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
木马会创建线程释放eThZrkpVeaM3wcX.dll并调用其导出的JUFndB4pARSJ函数将此Dll注入到所有进程中,建立死循环保护Dll注册表启动项。此外,还会创建ShellExecuteHooks启动项,使得eThZrkpVeaM3wcX.dll可以随explorer进程一同加载。被注入进程中的eThZrkpVeaM3wcX.dll会搜索并关闭网游进程,并趁机盗取QQ三国、QQ幻想等游戏的账号密码。不仅如此,它还会窃取用户用ACDSee、图片浏览器和传真以及记事本打开的图片或文本文件的内容。
卡巴斯基已经可以查杀“玛格尼亚家族”网游盗号木马及其变种,建议您尽快安装卡巴斯基安全软件并将病毒库升级到最新,以免感染给您造成不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论