"封神榜Ⅱ盗号器24576"(Win32.Troj.OnlineGameT.nx.24576),这是一个针对网络游戏《封神榜Ⅱ》的盗号木马程序。病毒作者为躲避查杀,对病毒进行了加壳和加密,并给病毒设置了自我删除的功能。
"MSN伪装下载器18776"(Win32.Troj.AgentT.ac.18776),该病毒是一个木马下载器。它的原始文件会伪装成MSN的文件名称。运行后下载大量木马病毒至用户机器上安装。病毒运行完毕后,还会删除自己的原始文件。
一、"封神榜Ⅱ盗号器24576"(Win32.Troj.OnlineGameT.nx.24576) 威胁级别:★
任何一个网络游戏,只要玩家数量足够多,就能引起盗号木马制作这的注意。近来,《封神榜Ⅱ》就又被木马作者盯上。
这个盗号木马具有自动删除的功能,它进入系统后,会将自己病毒将自身fssetlek.exe复制到%WINDOWS%system32目录下,然后就删除原始文件,减少被用户发现的机率。
Fssetlek.exe运行起来后,会释放出病毒文件fssetle.dll,此文件用于执行盗号行为。病毒利用它,查找《封神榜Ⅱ》的窗口"FSOnline2"来,在查找到之后,就结束它。这样一来,玩家只得重新登陆游戏。
这时病毒就可趁机盗取账号和密码,并将获取的消息发送到wjka**3.til***ai.com/totals/push.asp这个由病毒作者指定的地址。
二、"MSN伪装下载器18776"(Win32.Troj.AgentT.ac.18776) 威胁级别:★
这个下载器的作案原理很简单,它采用伪装成MSN的办法,试图骗过杀毒软件,但明显失败。
进入用户电脑后,此毒将自己的主文件MSN.exe复制到%WINDOWS%system32目录下,然后修改系统中关于发出报警音的驱动文件,也就是%WINDOWS%system32dllcache目录与%WINDOWS%system32drivers目录下的beep.sys。完成这个修改,系统在出现异常时,也不会发出警报音。
接下来,病毒就连接指定的网址http://down.*****.com/unin,获取一份下载列表,根据其中的地址,下载更多木马文件到本机安装运行。
在运行完毕后,此毒就删除自己的原始文件,避免用户发现系统中出现多余的东西。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
