"视觉控制492544"(Win32.PSWTroj.HeiDong.ab.492544),这是个远程控制木马。它伪装成正常文件的图标,诱骗用户点击,运行起来后就监视用户的屏幕和视频设备,帮助黑客对用户进行远程控制。
"完美世界盗号器114688"(Win32.PSWTroj.OnlineGames.hu.114688),该病毒是网络游戏《完美世界》的盗号木马。病毒运行后会添加注册表增加启动项,注入进程,把截获到的账号和密码等信息发送到木马种植者的邮箱当中。
一、"视觉控制492544"(Win32.PSWTroj.HeiDong.ab.492544) 威胁级别:★
这个病毒的行为类似于灰鸽子,运行起来后就会监视用户系统的操作,并建立后门,方便黑客非法登录和控制用户电脑。
此病毒比较大的一个特点是,它会伪装正常的常用文件的图标,诱骗用户点击,使它得以运行。至于采用何种图标,则根据变种的不同而不同。在此篇预警播报所描述的版本中,它采用的是QQ即时聊天工具的图标,但在其它版本中,则存在有WORD文档、文件夹、MSN等多种图标。
当被点击激活后,病毒就释放出文件userdata.exe和userdata.dll到%WINDOWS%目录下。不过,这些文件的名称不固定,它们也可能采用其它看似正常的系统文件的名称。接着,病毒就注入svchost.exe等系统进程,隐蔽地运行自己。
如果顺利运行起来,病毒就与病毒作者(黑客)指定的远程地址连接,使得黑客可以监视用户的电脑屏幕,以及在无任何提示的情况下启动视频设备,并且还可以执行任何他想要的其它非法操作。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-heidong-ab-492544-50633.html
二、"完美世界盗号器114688"(Win32.PSWTroj.OnlineGames.hu.114688) 威胁级别:★
这个盗号木马利用消息监控的方式来盗取《完美世界》玩家的帐号和密码。它的原理普通,但由于借助下载器和捆绑其它文件,近来该毒和它的若干变种的传染趋势有所增强。
病毒进入系统后,会试图在系统盘下建一个名为Syswm1h的隐藏文件夹,然后将自己的文件svchost.exe和Ghook.dll释放到其中。不过,由于病毒作者指定的路径为C盘根目录,如果你的系统盘不在C盘上,那病毒就无法完成这个动作了。
如果可以成功释放出文件,病毒就修改系统注册表实现开机自启动,并将DLL文件注入桌面进程Explorer.exe,搜寻《完美世界》的进程。然后就建立消息监视,从游戏客户端与服务器端的通讯中截获帐号与密码,发送到木马种植者指定的邮箱。令玩家受到虚拟财产的损失。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-onlinegames-hu-114688-50634.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年5月29的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010-82331816,反病毒专家将为您提供帮助。
