北京信息安全测评中心、金山毒霸联合发布2006年10月18日热门病毒。
今日提醒用户特别注意以下病毒:“魔兽大盗变种pe”(Troj.WOW.pe)和“传奇大盗变种bt”(Troj.Lmir.bt)
“魔兽大盗变种pe”(Troj.WOW.pe)木马,是一个盗取魔兽世界游戏帐号的木马。
“传奇大盗变种bt”(Troj.Lmir.bt)木马,是一个能释放出另外两个传奇病毒盗取用户的传奇游戏帐号的传奇木马。
一、“魔兽大盗变种pe”(Troj.WOW.pe) 威胁级别:★★
据金山毒霸反病毒工程师介绍,这是一个盗取魔兽世界游戏帐号的木马,它能释放一个DLL文件注入到Explorer.exe进程中,使病毒更隐蔽。病毒运行后,病毒被运行后,会把自己拷贝到下面的地方:C:\Windows\System32\Launcher.exe,并在同一目录下释放一个名为mywow.dll的文件,该DLL文件也是个病毒。病毒会在注册表中添加一自启动项,使自己能随Windows启动。Launcher.exe运行后,会检查system32下有没有mywow.dll文件,若存在,就把该DLL注入到Explorer.exe进程中运行,若不存在,就会再释放一个出来注入进程,在Explorer.exe中的病毒文件(mywow.dll)会寻找魔兽世界的游戏窗口,若发现,则从游戏中读取相关的信息,包括游戏玩家的帐号,密码,登录服务器,物品,装备等,并把得到的信息通过网站上传的方式发送给木马种植者,使用户的游戏帐号丢失。
二、“传奇大盗变种bt”(Troj.Lmir.bt) 威胁级别:★
据金山毒霸反病毒工程师介绍,这是一个能释放出另外两个传奇病毒盗取用户的传奇游戏帐号的传奇木马。病毒运行后会释放出两个病毒文件:%window%\399952.dll,%window%\399952M.BMP,之后完成后会自删除。病毒会在注册表中添加一自启动项,使病毒能随Windows启动399952M.BMP会把自己插入到conime.exe进程中运行,使病毒运行时没有产生新的进程,增加了查杀的难度,之后399952M.BMP会调用399952.DLL文件来盗取游戏的帐号与密码,然后把得到的数据通过网站上传的形式发送给木马种植者指定的网站上,使用户的游戏帐号与密码丢失。
金山反病毒工程师建议:
1.请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。
2.当操纵者控制用户电脑时,就可直接导致用户的信息被泄露, 为了您系统和个人信息的安全,专家建议用户在打开一个陌生文件时,请用最新病毒库的杀软进行扫描。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2006年10月18日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://db.kingsoft.com免费下载最新版金山毒霸2006或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。”
网友评论