11.11-11.17流行病毒排行榜NO.5:Win32.Troj.OnlineGamesT.nf.94208
病毒名称(中文):Win32.Troj.OnlineGamesT.nf.94208
8 {% {( ?2 Q2 w4 j4 D/ _9 M+ C5 ]5 R- l/ H1 |
病毒别名:盗号木马已经多到没办法命名的地步,大部分盗号木马没有详细分析,只用自动分析流程提取了病毒特征6 o* c0 Z& u% `
; L9 z' H/ G4 g' p威胁级别:★☆☆☆☆& Y( f8 _. H6 V$ o2 g$ g. F( X
病毒类型:木马程序4 i3 x; e7 x" q" p8 Y
病毒长度:38032
/ P# y( a6 L5 Z影响系统:Win9x WinNT Win2000WinXP Win2003" `$ U5 t& V- A2 s
; x p' D- }8 V* `2 n. t' K( g- h病毒行为:
2 q) e* Z T6 Z: m. Z+ D. Z这是一个盗号木马。病毒运行后,释放病毒文件至"NetMeeting"文件夹,修改注册表启动项。病毒通过注入桌面进程,监控网络游戏魔域窗口,并盗取用户帐号、密码、密保等信息,发送给远程盗号者,损害用户利益。$ T! Z |2 {0 w; ~, H1 F
1.复制自身至(木马最重要的特征是伪装,通常会把自身伪装为正常文件,创建的木马程序通常在系统文件夹下)
- [( }6 p# l8 B6 x; k" @: h%programfiles%\NetMeeting\ravmymon.exe
( N% B; n" q! D( P( d1 E6 e然后释放文件
9 i7 M. W/ ]/ _( y; _8 H* T%programfiles%\NetMeeting\ravmymon.cfg
0 a t4 @0 X% H" @* |; D5 A%programfiles%\NetMeeting\ravmymon.dat# w4 G+ j8 q" I& O! d% A2 o8 `7 H
最后使用批处理删除自身
& ~& _7 u7 G P0 n6 H$ N" E6 s+ v2.生成启动项& V% R6 `' m3 Y1 F9 M) M
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runravmymon "%programfiles%\NetMeeting\ravmymon.exe"$ o6 M+ i. k6 y% [- |
3.注入桌面进程,监控网络游戏魔域窗口,盗取用户帐号、密码、密保等信息,并发送至远程服务器
+ m5 K3 t6 P) E6 s5 [, Yhxxp://www.abcdf.cn/my7570/lin.asp?a=%s&s=%s&u=%s&p=%s&pin=%s&r=%s&l=%d&m=%d&mb=%s
1 C' t) I9 h" a9 H9 `* ?9 m& R" x7 K4 ^1 Q* Z( G7 ^
8 v ~3 M$ [8 E: r3 ?* k解决方案:/ {- @8 E* H v& ?
这个木马并不复杂,木马注入了explorer进程,监控游戏客户端盗号。
! V* ?4 {4 Q% Y7 I中毒后,启动到安全模式下病毒也会执行,金山毒霸2008(2007近期也已经更新)的抢先杀毒功能(bootclean),可以一次重启将病毒清除。
: X: K6 ?/ {# {, W9 S6 E G0 N; ]
5 F) @6 |0 Z, E+ \3 }通用的防木马原则:
8 i; {- ]7 o- W- |/ K# y1.木马大多数情况下使用社会工程学欺骗,来入侵电脑,用户应对小心浏览一些看起来不太正规的网站。
6 c0 z* I6 T/ p1 `7 x3 J3 t# X2 S$ z2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵# u$ O( h: ]: v7 @' P/ E
3.安装杀毒软件,并保持监控有效。
搜索更多相关主题的帖子:
OnlineGamesT 排行榜
