安全在线7月3日报道 "还原卡破坏者73728"(Win32.TrojDownloader.Agent.73728),这是一个木马下载者程序。该病毒运行后会修改系统文件、打开本地端口协议端口连接网络,然后下载病毒,并穿透电脑上安装的还原卡,运行病毒。
"华夏盗号器110799"(Win32.Troj.OnLineGamesT.ak.110799),该病毒是一个网游盗号木马的变种。它针对的是网络游戏《华夏Ⅱonline》。病毒运行后会盗取的账号信息,并通过网页提交的方式发送到木马种植者手上。
一、"还原卡破坏者73728"(Win32.TrojDownloader.Agent.73728) 威胁级别:★★
这个下载器在对抗系统安全模块方面做了许多工作,它能绕开安全模块的监视,非法连接远程服务器,甚至还可以穿透还原卡。
病毒在进入电脑后,释放自己的文件tubv.exe到%WINDOWS%目录中。立刻修改系统%WINDOWS%文件夹中的系统桌面文件explorer.exe,同时将正常的原文件复制到%WINDOWS%system32目录中。接着就运行起来,打开本地端口协议UDP端口。
然后,病毒在C盘根目录下生成一个emsf3.bat文件和一个rmeslf.bat文件,用它们删除病毒的原始文件和那个被修改过的explorer.exe,销毁自己到过电脑的证据。
完成以上工作后,该病毒利用打开的端口,连接病毒作者指定的地址http://jqm.htitm***.cn,下载一份病毒列表,再根据其中的地址,下载数十个其它病毒。经毒霸反病毒工程师检查,这些病毒都是各种个样的盗号木马。会盗窃多种网游和网银的帐号信息。
毒霸反病毒工程师还发现,该下载器针对网吧等场所的电脑,配备有对抗还原卡功能。它可以利用磁盘驱动技术,穿透还原卡保护,从而让自己所下载的这些木马长久地驻留在受害电脑中。
二、"华夏盗号器110799"(Win32.Troj.OnLineGamesT.ak.110799) 威胁级别:★
这个病毒的作案原理比较简单,可被大多数安全软件查杀,但由于借助一些对抗型下载器进行传播,近来频繁现身。
病毒在用户系统中的操作步骤并不复杂,它首先把自己的文件hhrdxd.dll释放到系统盘%WINDOWS%system32目录中,并添加注册表启动项,实现开机自启动。
如果得以运行,病毒就将自己的文件注入系统桌面进程中,搜索《华夏Ⅱonline》的游戏进程,注入其中,读取游戏帐号和密码信息。如成功获得,便连接病毒作者指定的远程地址,将赃物一网页提交的方式发送过去。使玩家蒙受虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。