“浩方盗号者变种18432”(Win32.Trojan.OnlineGames.18432),这是一个针对“浩方游戏平台”的盗号木马。病毒注入其它进程后,会查找并关闭卡巴斯基的进程,然后注入系统桌面进程,寻找“浩方”的程序,盗取帐号信息。
“伪装下载器98304”(Win32.TrojDownloader.Agent.98304),这是一个木马下载器。它会注入系统安全服务的进程,利用系统进程的空间运行自己,实现隐蔽下载。为躲避用户的查杀,它还会伪装成系统进程。
一、“浩方盗号者变种18432”(Win32.Trojan.OnlineGames.18432) 威胁级别:★
“浩方游戏平台”因为可帮助用户方便地对多款游戏进行娱乐和管理,受到游戏玩家的喜爱。不过,这也吸引了盗号木马作者们的目光。通过昨日分析到的一个盗号木马,毒霸反病毒工程师发现,不法份子再次盯上了“浩方游戏平台”。
这个木马是一个已知浩方盗号木马的新变种,它在进入用户系统后,会启动一个线程来检测系统中是否有杀毒软件卡巴斯基的警告提示窗口,当检测到就模拟用户点击鼠标来发送关闭消息,使得卡巴无法向用户报告系统的的异常。
然后,它将自己的病毒文件WINFORM.EXE复制到 系统盘 %WINDOWS% 目录下 ,并释放一个 WINFORM.DLL 文件到 %WINDOWS%system32 目录中。其中,WINFORM.EXE 是病毒的主文件,病毒会把它的相关数值写入注册表启动项,实现自己的开机自启动。而 WINFORM.DLL 这个文件则负责在系统中展开全局监视,查找并注入“浩方游戏平台”的进程,盗取游戏账号和密码。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-trojan-onlinegames-18432-50480.html
二、“伪装下载器98304”(Win32.TrojDownloader.Agent.98304) 威胁级别:★
WINDOWS操作系统自带有大量系统进程,这些进程中,几乎任何一个都是系统正常运行必不可少的。大多数普通用户面对这些系统进程,都是敬而远之,担心误操作会带来系统崩溃。一些病毒程序利用大家的这一心理,将自己伪装成系统进程,躲避用户查杀,十分狡猾。
例如以下这个木马下载者,就属于这种具有伪装性的病毒。它在进入系统后,在系统盘的 %WINDOWS%system32目录下释放出病毒文件loder.exe和loder.dll,其中loder.exe是病毒主文件,而loder.dll是用来注入系统安全登录进程lsass.exe进行下载活动的。
该病毒的伪装性在于,它会将自己注册为WINDOWS系统的的服务进程,如果用户查看它的属性,可发现它给自己穿的马甲是“Windows基本服务管理”、“ServiceManage”,而路径为“%systemroot%system32loder.exe -dianji-”
由于大多数用户对WINDOWS系统的进程并不熟悉,因此在检查电脑时,会被病毒的伪装欺骗。实际上,病毒这时已经在lsass.exe进程的空间中悄悄运行,连接病毒作者指定的多个地址,下载了多份病毒列表。并在稍后,根据列表上的地址,疯狂下载大量其它木马。
使用毒霸的用户,对于这类具有伪装性的病毒可以放心,因为毒霸可以识别出它们的真实身份。如果你的电脑已安装其它杀毒软件,但却无法进行进程识别,则可以下载免费的安全辅助软件“清理专家”,利用其“互联网可信认证服务”来验证可疑进程。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-trojdownloader-agent-98304-50481.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月22的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
网友评论