铁军 2008-8-28 11:01
8月28日病毒播报(图片鸽子1257472、天堂Ⅱ盗号木马106496)
[align=center][size=5][color=Red]金山毒霸每日病毒预警[/color]
[/size][/align]
“图片鸽子1257472”(Win32.Hack.Huigezi.zj.1257472),该病毒是灰鸽子木马的一个变种。它会伪装成图片文件,来诱惑用户点击。一旦被激活就会关闭Windows防火墙,远程连接到病毒作者指定的服务器。
“天堂Ⅱ盗号木马106496”(Win32.PSWTroj.OnlineGames.106496),该木马是网络游戏《天堂Ⅱ》的盗号木马。病毒运行后会衍生病毒文件到系统路径下,盗取账号信息,并通过网页提交的方式发送到木马种植者手上。
[size=5][color=Red]一、“图片鸽子1257472”(Win32.Hack.Huigezi.zj.1257472)威胁级别:★[/color][/size]
灰鸽子的变种依然不断出现,本周毒霸反病毒工程师再次发现了它们的身影。这个变种具有一定的伪装能力。它进入系统后就将自身的文件rundll89.exe复制到%WINDOWS%目录下,并设置为隐藏属性。同时,给自己的副本采用图片文件的图标,以骗取用户点击它。
一旦用户点击了它的这张“图片”,该毒就会被激活。它创建smss服务实现自启动,搜索并关闭Windows系统自带的防火墙,这样它就能连接到病毒作者指定的远程地址,帮助黑客远程控制用户机器。
由于关闭了系统防火墙,用户系统的安全性就会降低。在该毒等待黑客指令期间,很可能就会涌入大量其它病毒文件。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-hack-huigezi-zj-1257472-50897.html
[size=4][color=Red]二、“天堂Ⅱ盗号木马106496”(Win32.PSWTroj.OnlineGames.106496)威胁级别:★[/color][/size]
近来针对《天堂Ⅱ》的盗号木马近来有所增多,毒霸反病毒工程师猜测这与病毒团伙使用了新的木马生成器有关。此篇播报中的这个变种进入用户电脑后,会在系统盘的%WINDOWS%\system32\目录下释放出病毒文件serev.exe和Dxdiag9.Dll,其中serev.Exe是木马主文件,而Dxdiag9.Dll用于执行盗号行为。
当病毒修改注册表启动项,将serev.Exe设置为开机子启动后,Dxdiag9.Dll就会被注入到系统桌面进程中运行,它设置消息钩子,监视用户与游戏服务器端的通讯,从中截获来用户的账号资料。
脏污会被以网页提交的方式发送到http://www.********.cn/daols/xu.Asp这个由病毒作者指定的地址。运行完成,病毒就删除自己的原始文件,试图以此减小自己被用户发现的机率。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-pswtroj-onlinegames-106496-50898.html
[size=4][color=Red]金山反病毒工程师建议[/color][/size]
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年8月28的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录[url]http://www.duba.net[/url]免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
