金山毒霸每日病毒预警
“传奇盗号木马69632”(Win32.PSW
Troj.OnlineGames.69632),该木马是
网络游戏《传奇》的盗号
木马。病毒运行后会衍生病毒
文件到
系统路径下,盗取账号信息,通过邮箱发送的方式发送到木马种植者手上。
“劫持者下载器208896”(Win32.Hack.ReSSDT.p.208896),该病毒是个木马
下载器。它通过还原系统的ssdt表来解除部分杀软的“主动防御”,然后劫持安全
软件,使其失效。最后下载大量的木马
程序。
一、“传奇盗号木马69632”(Win32.PSWTroj.OnlineGames.69632)威胁级别:★
木马的原始文件进入
电脑后,就在%
WINDOWS%\system32\目录下释放出子文件kncer10.
dll与kncer10.exe。其中kncer10.
exe是病毒的主程序,它会被写入系统注册表中,使病毒实现
开机自启动。
当成功运行起来,此毒会将之前释放出的kncer10.dll注入到系统桌面进程中,搜寻网络游戏《传奇》的进程,监视游戏客户端与
服务器端的通讯,从中截获玩家输入的帐号和密码。
最后,木马把盗取的账号资料通过网页提交的方式发送到http://www.********.com/cqfuckbao/post.asp这个由病毒作者指定的
地址,并删除源文件自身,防止被用户或杀软捕获
样本。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-pswtroj-onlinegames-69632-50911.html
二、“劫持者下载器208896”(Win32.Hack.ReSSDT.p.208896)威胁级别:★★
该毒进入系统后,在%WINDOWS%\system32\drivers\目录下释放出随机命名的子文件。然后搜寻并尝试结束DrvAnti.Exe(驱动防火墙的进程)。接着,它创建服务启动,来还原系统SSDT表,这样可以使一些所谓具有“主动防御”功能的杀软失效。
接着,它枚举系统中的进程,劫持电脑中已安装的杀毒软件。该毒的劫持名单非常庞大,几乎所有知名的杀软都是它的目标。当然,劫持归劫持,至于是否能成功,那就看各杀软的查杀能力了。至少这招对毒霸无效。
当解除了电脑的防护,该毒读取自己配置文件中的地址信息,从指定的远程地址下载一份最新的病毒列表,根据其中的地址,下载更多的木马文件到用户电脑中运行,引发更多无法估计的破坏。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅
http://vi.duba.net/virus/win32-hack-ressdt-p-208896-50912.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、
内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天
工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年9月4的病毒库即可查杀以上病毒;如未安装
金山毒霸,可以登录
http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸
在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒
专家将为您提供帮助。
