金山病毒预警:隐形鸽子病毒

互联网 | 编辑: 潘翔城 2008-04-08 00:30:00原创

“剑侠盗号木马110080”(Win32.PSWTroj.Nilage.110080),该程序是一个网游盗号木马,主要通过网页木马、文件捆绑等方式传播。它遍历进程查找网络游戏《剑侠情缘2》的进程,通过读写内存的方式获取帐号和密码,然后发送给病毒作者。

“隐形鸽子192512”(Win32.Troj.Leapar.sb.192512),此病毒是一个用vc++高级语言编写的黑客木马程序。病毒释放自身驱动文件及dll格式文件,突破杀软的防御措施,然后隐藏在用户机器中,实现远程监视。

一、“剑侠盗号木马110080”(Win32.PSWTroj.Nilage.110080) 威胁级别:★

这是一个通过强行掉线的方式来盗取网游《剑侠情缘2》玩家帐号的木马。所谓“强行掉线”,指的是它会搜索并强行关闭用户电脑中正在运行的游戏进程,迫使玩家重新登录游戏。在这个过程中,病毒就可以趁机记录下用户的密码。

该病毒进入用户电脑后,在系统盘的%WINDOWS%Debug目录下释放出病毒文件B831406A9770.dll和 B831406A9770.exe,其中B831406A9770.exe是病毒主文件,病毒会修改注册表自启动项,将该文件数据写入其中,使得自己能随系统一起启动。而B831406A9770.dll负责在病毒重启后注入系统桌面进程explorer.exe,搜索《剑侠情缘2》的进程,完成盗号工作。

关于此病毒的另一个变种“剑侠盗号木马102400”(Win32.PSWTroj.OnLineGames.102400),我们曾在4月3号发出过预警,但由于最近该病毒家族的变种突增许多,因此再次提醒大家注意。

关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-pswtroj-nilage-110080-50511.html

二、“隐形鸽子192512”(Win32.Troj.Leapar.sb.192512) 威胁级别:★★

昨日,远程控制木马再次进入毒霸反病毒工程师们的视野之中。在被磁碟机等下载器盖过风头好一阵子后,远程控制木马又蠢蠢欲动起来。

经毒霸反病毒工程师的分析,最新捕获的这个病毒是一个类似“灰鸽子”的远程控制木马,它进入系统,开始运行后,首先在系统临时目录下释放出一个名为XXXX.dat的配置文件,其中XXXX为随机产生的四位数。

接着,病毒搜索系统中是否有杀毒软件卡巴斯基和瑞星的进程,如发现,则释放出自己的驱动文件,造成杀软瘫痪。同时,病毒在注册表中注册为 windows服务,实现开机自启动。这里值得一提是,病毒会将自己的窗口名注册为“Microsoft Internet Explorer”,类名注册为“IEFrame”,试图混淆用户的判断。

最后,病毒释放出dll文件,将其注入到svchost.exe中,利用它的空间运行自己,实现隐蔽运行。一旦病毒运行完毕,此后门程序可以远程监视用户的屏幕和键盘等,具有较大的危害性。而且由于它采取无进程无模块的作案方式,会给普通用户的手工清除带来很大的困难。

关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-leapar-sb-192512-50512.html

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年4月5的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http: //www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010— 82331816,反病毒专家将为您提供帮助。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑