金山毒霸每日病毒预警
“远程控制器102224”(Win32.
Troj.MnlessT.zb.102224),该文件是个后门
程序。加载后首先解密预设的数据,根据解密出来的数据确定释放的
文件名及路径,创建的服务名,描述信息等。然后在
系统中创建服务,留下后门端口。
“魔域对抗型盗号木马57344”(Win32.Troj.OnlineGameT.zp.57344),这是一个针对《魔域》的网游盗号
木马。它自带得有一个驱动文件,用于解除一些具有所谓主动防御功能的杀毒软件的主防。当破坏了杀毒
软件的正常运行后,病毒就会盗取
游戏的帐号和密码。
一、“远程控制器102224”(Win32.Troj.MnlessT.zb.102224)威胁级别:★
病毒在系统中释放出两个病毒文件,分别是%WINDOWS%\system32\目录下的zomdvkev.dll和%
WINDOWS%\system32\drivers\目录下的zomdvkev.sys。并且加载zomdvkev.dll,利用它来创建服务。
病毒首先检查系统中是否存在服务zomdvkev,存在则
删除该服务重建,如不存在则创建服务zomdvkev。完成这个步骤后,病毒就可以在系统中运行起来。为防止被用户查杀,病毒会将自己的服务进程的文件时间属性设置伪装得和系统文件svchost.
exe一模一样,实现隐身。
当运行起来,病毒就连接到病毒作者(黑客)指定的远程
地址接受指令,为黑客入侵用户系统提供帮助。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-troj-mnlesst-zb-102224-50639.html
二、“魔域对抗型盗号木马57344”(Win32.Troj.OnlineGameT.zp.57344)威胁级别:★
这个盗号木马具有对抗安全软件的能力,且近来变种较多。
病毒在%WINDOWS%\system32\目录下释放出病毒文件ttMYSMYS1053.exe和ttMYSMYS1053.dll,并在%WINDOWS%\system32\drivers\目录下释放出自己的驱动XNGAnti.sys和ReloadAnti.sys。
接着,病毒就枚举系统进程,结束360安全卫士的实时监控程序和《魔域》游戏的进程。与此同时,它将自己添加到系统注册表启动项中,实现自启动,并利用自己的驱动文件恢复系统SSDT表中的数据,造成一些具有主动防御功能的杀毒软件的“主防”。这样一来,这些杀软的安全防护能力就大大降低。
最后,病毒就注入系统桌面进程,等待用户重启游戏程序,然后
记录下所输入的帐号密码信息,将它们发送到病毒作者指定的地址。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-t ... zp-57344-50640.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、
内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天
工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的
网络使用习惯,如不要登录不良网站、不要进行非法
下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年6月1的病毒库即可查杀以上病毒;如未安装
金山毒霸,可以登录
http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸
在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒
专家将为您提供帮助。
