20日病毒预警:小心“灰鸽子变种”
“<STRONG>灰鸽子</STRONG>变种679936”(Win32.Hack.Huigezi2007.679936),这是一个灰鸽子木马的<STRONG>变种</STRONG>。它会在用户电脑里建立全局监视,并与病毒作者指定的远程服务器通讯,帮助黑客进行一系列的远程监控等操作。它为迷惑用户,还会将自己伪装成一个数据安全保护进程。<P> “对抗型魔兽盗号器11353”(Win32.Troj.OnLineGames.ak.11353),这是一个针对《魔兽世界》的网游盗号木马。它会把盗取的账号信息通过网页提交的方式发送到木马种植者手上。它还具有一定的对抗安全软件能力。</P>
<P> <STRONG> <FONT color=red>一、“灰鸽子变种679936”(Win32.Hack.Huigezi2007.679936) 威胁级别:★★</FONT></STRONG></P>
<P> 此木马是的主要威胁行为是它能协助黑客对用户电脑进行远程控制。它在用户系统中运行起来后,就会启动IE浏览器的进程,在后台悄悄地访问IP查询网站,获得用户电脑的IP信息,然后反向连接病毒作者指定的远程服务器(黑客控制端)。</P>
<P> 连接成功后,此木马就监视用户的操作和网络访问情况,并等待黑客控制端发出的指令。利用该木马制造的后门,黑客可以对用户系统进行任何想要的控制。</P>
<P> 该木马的文件被隐藏在%windows%目录下,名为systme.txt。它会被写入注册表,注册为服务启动。为蒙蔽用户,它给自己取的服务名为Protected Storag,服务描述为“提供对敏感数据(如私钥)的保护性存储”。习惯手动查杀的用户可对此留意。</P>
<P> 当运行完成后,此木马就释放一个BAT文件,删除自己的原始文件。</P>
<P> 关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-huigezi2007-679936-50881.html</P>
<P> <STRONG> <FONT color=red>二、“对抗型魔兽盗号器11353”(Win32.Troj.OnLineGames.ak.11353) 威胁级别:★</FONT></STRONG></P>
<P> 此盗号木马具有一定的对抗能力,它进入系统后会首先搜索360安全卫士的进程,尝试将其强行关闭。</P>
<P> 如果上面的步骤成功,它便把自己的dll文件注入到游戏进程当中,并展开消息监视。它监视用户与游戏服务器之间的通讯,从中筛选出《魔兽世界》玩家的游戏帐号与密码。</P>
<P> 在顺利盗窃了帐号和密码后,它立即悄悄连接病毒作者指定的远程地址,以网页提交的方式将赃物发送出去。</P>
<P> 病毒文件exlplo.Dll会被隐藏在系统盘%WINDOWS%\system32\目录下,习惯手动查杀的用户要留意。</P>
<P> </P>
<P> </P>
<P> 据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“线上游戏窃取者变种SZM(Trojan.PSW.Win32.GameOL.szm)”病毒。</P>
<P> 这是个偷取游戏密码的病毒,它会注入到系统Explorer.Exe进程中,查找游戏进程,窃取游戏密码后发送给黑客指定的网址。</P>
<P> <STRONG>本日热门病毒<FONT color=red>:“线上游戏窃取者变种SZM(Trojan.PSW.Win32.GameOL.szm)”病毒<BR></FONT></STRONG><FONT color=red> 警惕程度:★★★<BR></FONT> 盗号木马病毒<BR> 通过网络传播<BR> 依赖系统:Windows NT/2000/XP/2003。</P>
<P> 这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。</P>
<DIV class=clear1></DIV>
<DIV id=textpage1><!-- Error --></DIV>
页:
[1]