“奇迹世界盗号者14789”(Win32.Troj.AgentT.ya.14789),这是一个针对网络游戏《奇迹世界》的盗号木马。病毒发作后会破坏系统防火墙和自动更新功能的正常运行,然后注入系统进程,盗取游戏账号。
“黑冰变种212992”(Win32.BlackIce.zm),这是一个被黑冰病毒的变种。它会感染一些主流网络游戏的文件,被感染文件多加了一个叫作“blackice”的节,并且在原文件中加入了一个木马病毒体。被感染文件会释放并执行这个病毒体,再调用正常的文件执行,使得用户难以发现自己的电脑已中毒。
一、“奇迹世界盗号者14789”(Win32.Troj.AgentT.ya.14789) 威胁级别:★★
小心你的网游帐号,不法份子又盯上它们了。根据毒霸分析人员统计到的资料,一批《奇迹世界的》盗号木马又被制造出来,我们捕获到了它的一个变种。
病毒运行后会在系统盘中释放出四个病毒文件,分别为%WINDOWS%system32目录下的 raqjcpi.dll、raqjcni.dll 和 raqjctl.exe,以及%WINDOWS%Fonts目录下的 chqiaur.fon。然后,它会调用批处理删除自己的原始文件,避免用户发现自己电脑里多出了陌生的文件。
与此同时,病毒会读取注册表,修改启动项,使得每次电脑重启后,病毒的主文件raqjcpi.dll 都能跟着系统桌面进程自动运行起来,并搜索网络游戏《奇迹世界》的进程,注入其中读取帐号密码等信息。
至于之前生成的 raqjcni.dll 和 chqiaur.fon ,它们其实是经过伪装的“销赃地址名单”。如果病毒成功盗取了密码,它就会悄悄建立远程连接,将赃物发送到这两个文件中所记录的网址,给用户造成虚拟财产的损失。
让你愤怒的事还还没完。这个病毒给用户带来的不仅仅是失去辛辛苦苦打下的帐号,它为了便于作案,在运行后修改注册表中的防火墙和自动更新设置,使 WINDOWS 防火墙被禁用,自动更新功能也失效。这会给外部其它恶意程序的入侵创造极佳机会。
此外,由于病毒在进行盗号时是不断地建立监视,读取内存数据,会使用户的机子变得巨卡无比,让人觉得十分烦躁。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-agentt-ya-14789-50472.html
二、“黑冰变种212992”(Win32.BlackIce.zm) 威胁级别:★★
病毒在进入系统后,会释放出一个名为“blackice.exe”的病毒文件。这是一个木马文件,它被隐藏在系统盘的%WINDOWS%system32路径下,并随后修改注册表启动项,使自己可以随系统自动运行。
接着,该毒搜索系统中是否安装得有网络游戏的客户端程序,如果发现,便感染它们。被感染后的文件体积会增大,习惯手动查杀病毒的用户,利用PE工具查看可以看到文件被多加了一个叫“blackice”的节,并且入口也在新加的节中,还可以看到一个名称是8005的资源。
如果用户不小心运行了被感染的程序文件,病毒就能被激活。它会在用户系统的临时目录“Documents and SettingsUserLocal SettingsTemp”下释放一个名为“bk_XX.tmp”的木马文件和正常文件,然后调用正常文件运行,让用户难以察觉异常。需注意的是,“bk_XX.tmp”中XX为一个不确定的数,会按现有名称递增。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-blackice-zm-212992-50473.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月18的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
网友评论