金山毒霸每日病毒预警
“
感染型下载器4096”(Win32.Gdata.a.4096),这是一个
下载器
程序。它利用感染
EXE文件的方式来进行传播,运行后就下载其它病毒
文件到用户
系统中。
“传奇2盗号木马65536”(Win32.PSW
Troj.OnLineGames.65536),该病毒是
网络游戏《传奇2》的盗号木马。病毒运行后会衍生病毒文件至系统目录下,修改注册表生成启动项。然后盗取的游戏账号信息,并通过网页提交的方式发送到
木马种植者手上。
一、“感染型下载器4096”(Win32.Gdata.a.4096)威胁级别:★
这个下载器具有较强的传播能力。它可以感染正常的EXE格式文件,利用它们被复制的机会来感染其它
电脑。
它在进入用户电脑后,就
搜索所有的EXE格式文件,把自己的代码写入到这些文件中。当用户运行这些文件时,病毒就能运行起来。它会先与正常文件脱离,然后调用正常文件运行,这样一来,就好像什么事都没发生过,从而麻痹用户。
接着,病毒遍历当前进程,找到桌面进程文件explorer.exe,注入其中,实现隐蔽运行。它悄悄连接病毒作者指定的远程
地址http://61.1*1.*7.71,下载一个木马文件,将其命名为Temp.exe,存放到系统盘%
WINDOWS%目录中运行,引发更多其它破坏。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-gdata-4096-50647.html
二、“传奇2盗号木马65536”(Win32.PSWTroj.OnLineGames.65536)威胁级别:★
这个盗号木马针对的是《传奇2》的帐号和密码。它可以利用捆绑文件和下载器帮助的方式传播,当进入用户系统后,就会释放出病毒文件。
释放出病毒文件kcomx32.
dll和kcomx32.exe,其中kcomx32.exe是病毒主文件,它的相关数据会被写入系统注册表,帮助病毒实现
开机自启动。而kcomx32.dll则会被用来执行盗号工作。
当病毒运行起来后,它就会搜索游戏的进程,然后注入其中,通过读取游戏进程
内存的方式来获得帐号和密码,然后用网页提交的方式将它们发送到http://www.*******.cn/xintiancq/post.asp这个由病毒作者指定的远程地址。给用户造成虚拟财产的损失。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-p ... es-65536-50648.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒
软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天
工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年6月5的病毒库即可查杀以上病毒;如未安装
金山毒霸,可以登录
http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸
在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒
专家将为您提供帮助。
