关注恶意软件:
恶意软件名称:增强版“特工”木马变种(Trojan-Dropper.Win32.Agent.ayqa)
恶意软件类型:木马
长度:30736字节
加壳方式:UPX
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
具体表现:
增强版“特工”木马变种一般通过网页挂马或下载器下载等途径感染用户计算机。一旦感染,它会在用户计算机释放以下文件:
%systemroot%\Fonts\qP2N8HTHkmGRq5.Ttf %system%\Rwad8sdv4e7V8xpKZ.dll
删除文件: %system%\verclsid.exe
并且创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 @"C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 ThreadingModel "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell ExecuteHooks {F1455861-8C40-4095-ABD8-7BEAE5ADF92E}
首先,木马会创建线程释放Rwad8sdv4e7V8xpKZ.dll并调用其导出的JUFndB4pARSJ函数获得调试权限,这个导出函数还会创建线程建立一个死循环,在死循环中每隔两秒删除%system%\verclsid.exe文件并创建木马注册表项。之后此木马会创建ShellExecuteHooks启动项,使得Rwad8sdv4e7V8xpKZ.dll可以随explorer进程一同加载。,然后搜索并关闭网游进程。
释放的DLL运行后会检查宿主进程是否是某些安全软件或网络游戏,如果是则退出进程。之后通过消息钩子、游戏数据包拦截等方式获取大话西游2等网络游戏的账号密码。此外此木马DLL还会将用户用ACDSee、图片和传真以及记事本打开的图片或文本文件的内容截取并发送,窃取用户个人信息。
卡巴斯基已经可以查杀此木马变种,建议您尽快安装卡巴斯基反病毒软件并将病毒库升级到最新,以免感染给您造成不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论