“木马下载器40960”(Win32.TrojDownloader.Zlob.40960),这是一个病毒下载器程序。它会尝试从多个远程地址下载木马文件,如果均下载失败,就会删除自己,以免被用户察觉。
“大话西游Ⅱ盗号器102456”(Win32.Troj.OnLineGamesT.ny.102456),这是一个针对大话西游Ⅱ的盗号木马。它会盗窃游戏帐号和密码,然后发送到病毒作者指定的远程地址。
一、“木马下载器40960”(Win32.TrojDownloader.Zlob.40960) 威胁级别:★
该毒进入用户系统后,会在当前所在目录下运行起来。它把自己注册为启动项,实现开机自启动。当成功运行起来,它就在后台悄悄连接网络,循环登录病毒作者指定的三个不同的远程服务器,尝试执行下载任务。
只要三个服务器中的任何一个连接成功,病毒就会首先下载自己的更新文件,获取最新的功能和指令,然后执行这些新指令。经毒霸反病毒工程师检查,新指令主要是下载其它木马文件,也可以是对用户电脑进行控制。
如果三个远程服务器都连接失败,该毒就退出自己的进程,并在系统的临时目录文件夹创建一个gdsh0.bat文件,用于自删除,避免自己的样本被用户或杀毒软件发现。
中了该毒的一个症状是,用户的IE搜索中会自动增加多个搜索引擎的地址。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-zlob-40960-50869.html
二、“大话西游Ⅱ盗号器102456”(Win32.Troj.OnLineGamesT.ny.102456) 威胁级别:★
这个盗号木马运行原理比较简单,如果不是借助对抗型下载器传播,大部分安全软件都可以拦截它。
它进入系统后,首先释放出自己的3个病毒文件,位于%WINDOWS%system32目录下,分别是gsdhadwd.sys、mndhcdwd.dll、pldhadwd.exe 。接着它修改注册表启动项,实现开机子启动后。如能运行起来就会不断查找网游《大话西游Ⅱ》的进程,注入其中,读取用户输入的帐号密码信息。
病毒会把盗取得到的账号和密码通过网页提交的方式发送病毒作者指定的远程地址http://www.******5683.cn/dhxyma/post.Asp中,并删除自己的原始文件,躲避查杀。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegamest-ny-102456-50870.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
网友评论