“伪装下载者3584”(Win32.MiniDrop.3584),这是一个下载者木马程序。它运行后,会注册为浏览器帮助对象,侵入explorer.exe、spoolsv.exe等程序中,利用它们的空间运行自己,然后远程下载病毒文件到本机运行。
“浩方盗号木马73728”(Win32.PSWTroj.OnlineGames.oe.73728),此病毒是针对网络游戏平台“浩方”的盗号木马。病毒运行后会注入“浩方”进程,截获用户帐号信息,并把盗得的信息以网页提交的方式发送到木马种植者手上。
一、“伪装下载者3584”(Win32.MiniDrop.3584) 威胁级别:★★
病毒进入电脑系统后,在系统盘的%WINDOWS%\system32\目录下释放出4个病毒文件,它们分别为.exe、.dll、.ini、.ini2后缀的文件。需注意的是,这4个文件采取随机命名,但不论采用怎样的名称,文件名都只有5个字符,这就可以做为辨认它们的一个特征。
同时,病毒修改注册中的相关数据,将自己添加到系统自启动项,实现随windows系统启动而运行之目的。它会注册为浏览器帮助对象,骗取用户的信任,当用户启动资源管理器或IE浏览器时,就会自动加载病毒文件。
病毒运行起来后,会侵入explorer.exe、spoolsv.exe等系统进程中,创建一个rundll32.exe进程,运行之前生成的.dll病毒文件。并且,病毒会定时检查自己的进程是否在运行中,若未运行便重新创建一个病毒进程,以保证自己的犯罪行为能持续进行。
最后,病毒悄悄连接http://www.o3*6*.com这个由木马种植者指定的地址,下载更多其它病毒到用户电脑上运行,给用户的系统安全带来无法估计的威胁。
二、“浩方盗号木马73728”(Win32.PSWTroj.OnlineGames.oe.73728) 威胁级别:★
病毒进入用户电脑后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%目录下的winform.exe和%WINDOWS%\system32\目录下的winform.dll。随后,它修改注册表相关信息,将自己加入启动项,实现开机自动运行之目的。
当顺利地运行起来,病毒就搜索“浩方”对战平台的进程,发现后立即展开消息监视,伺机窃取用户的账号资料,把盗取的账号资料通过网页提交的方式发送木马种植者指定的地址http://www.*****.cn/hf2/post.asp,使用户遭受虚拟财产的损失。
此外需要注意,此病毒具有自我删除功能,当运行完毕后,它会删除自己的原始文件,让用户找不到病毒源。同时,它在作案时会将用户系统中已安装的杀毒软件强行关闭,造成用户电脑系统的安全等级大大降低。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
