“工具箱蛀虫”(Win32.DelfSpy.je.885862),这是一个蠕虫病毒。它会感染一些小巧的实用程序,并在用户启动这些程序时运行起来,在电脑系统中制造后门。为防止用户发察觉,在运行完毕后它会自删除。
“征途盗号木马32”(Win32.Troj.Iespy.au),这是一个针对网络游戏《征途》的盗号木马程序。病毒首先会查找杀毒软件瑞星和卡巴斯基弹出的警告窗口,模拟用户鼠标点击允许操作。然后枚举系统上的江民、瑞星、卡巴斯基进程,把它们的进程结束。最后注入游戏进程,盗取游戏账号和密码。
一、“工具箱蛀虫”(Win32.DelfSpy.je.885862) 威胁级别:★★
喜欢从网上下载程序的用户需要留意了,根据毒霸反病毒工程师统计到的数据,最近感染型病毒又有扩散趋势。而且有证据表明,这些新产生的病毒会选择实用性的小程序进行感染。比如屏幕保护程序、桌面工具、游戏外挂等。
这些小工具由于不占系统资源、灵活实用,一直有着较高的下载量。病毒作者正是看重了下载量大这一点,制作出下面的这个蠕虫以及它的各变种。这个病毒是利用被感染文件的转移和下载来传播。它在进入用户系统后,会搜索屏保、外挂等小巧的应用程序,然后将自己附加在正常文件的前面。
当用户运行被感染的文件时,病毒就会被激活。它把名为tmp8.tmp的病毒文件拷贝到系统盘根目录下,并且释放嵌入在文件内部的后门程序tmp7.exe到系统根目录下,并立即执行,打开系统后门,恭候黑客的光临,如果黑客成功地侵入用户系统,他就能执行几乎所有想要的操作。为减少被用户发现的机率,在执行完成后,病毒就执行自我删除,抹去之前生成的病毒文件。
有一定反病毒技术知识的用户,在查看该病毒数据时可以发现,病毒作者为了增加杀毒软件的清除难度,在原文件感染节中重建了文件的引入表,并且在病毒代码执行完毕,准备返回入口地址时修复原文件正确的函数引入地址,以保证原文件不会运行错误。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-delfspy-je-885862-50486.html
二、“征途盗号木马32”(Win32.Troj.Iespy.au) 威胁级别:★
这是个《征途》的盗号木马,具有对抗部分杀毒软件的能力,但如果安装这些杀软的用户及时升级,还是比较安全的。
病毒在进入系统后,释放病毒文件ztinetzt.exe和ztinetzt.dll到系统盘的%WINDOWS%system32目录下,并修改注册表实现自启动。病毒运行起来后的第一件事是查看系统中是否安装得有杀毒软件卡巴斯基,如有,则修改系统时间为以前的时间,造成依赖系统时间进行激活和升级的卡巴瘫痪。
同时,它判断是否有卡巴斯基和瑞星的警告提示窗口弹出,如发现,就模拟用户的鼠标点击动作,允许操作。并紧接着查找卡卡巴斯基、瑞星、江民的主程序,把它们完全关闭,彻底扫清自己盗号工作上的障碍。
解决掉杀软的威胁,剩下的工作,就是查找游戏进程,然后注入盗号了。这对病毒来说没任何难度,轻轻松松就能完成。这样一来,用户就损失掉了辛辛苦苦打出来的帐号。
因为现在的大多数木马都具备对抗杀软的功能,因此,建议用户们在系统资源允许的情况下,再安装一份安全辅助软件,这样可以提高系统安全标准。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-iespy-au-50487.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月25的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
网友评论