1月15日:“梦幻之盗504320”(Win32.Troj.XYOnline.dy.504320),这是一个针对网络游戏《梦幻西游》的木马生成器。盗号者使用这个工具,可以在电脑上生成盗取《梦幻西游》帐号的木马程序。这种盗号木马多见于网吧等公共场所。
“纵火狐狸精”(Win32.Magni.a.18944),这是个感染型病毒。它会感染除系统目录外的exe、com、scr文件,并删除所有的GHOST系统备份文件。它还会从网上下载更多其它病毒,进一步危害用户系统,同时生成AUTO病毒,利用U盘传播自己。
一、“梦幻之盗504320”(Win32.Troj.XYOnline.dy.504320) 威胁级别:★★
该木马生成器运行后,盗号者只需输入游戏帐号的回传地址,然后点击,就可在该生成器所在的目录下生成一个名为menghuan.exe的文件,这个文件为针对网络游戏《梦幻西游》的盗号木马病毒。随后,病毒便会自动开始工作。
病毒首先会在中毒电脑的系统盘中释放出4个病毒文件,分别为%WINDOWS%\Fonts\目录下的armease.fom和okmhccsb.dll,以及%WINOEWSt%\system32\目录下的okmhcaz.exe和okmhcy.dll。其中,okmhccsb.dll是一个伪装过的文本文件,用于记录病毒与盗号者取得联系的方式。
接着,病毒修改注册表,使自己以后都能随着系统桌面的启动而启动,同时破坏WINDOWS系统的自动更新功能。随后,它将之前生成的Okmhczy.dll病毒文件注入所有的进程中,展开全局监视。如果在系统中发现料《梦幻西游》的进程 my.exe,病毒就立刻注入其中,通过读取游戏内存的方式获取用户的帐号密码等信息,并回传到木马投放者指定的地址http://www.5**g*me.net/*h/post.asp,给用户造成虚拟财产的损失。
二、“纵火狐狸精”(Win32.Magni.a.18944) 威胁级别:★★
病毒进入用户系统后,在系统盘的%Program Files%\Common Files\Microsoft Shared\Speech\目录下释放出病毒文件taskmgr.exe和dlg.dll,在%WINDOWS%\system32\spool\目录下释放出冒充成杀软“卡巴斯基”的病毒文件KAV.log。随后,它修改注册表,将自己添加到开始菜单启动项的“Documents and Settings\All Users\「开始」菜单\程序\启动\protect.exe”路径下,实现开机自启动之目的。
病毒会修改注册表中关于文件显示属性的相关数据,使得文件夹选项中的“显示所有文件和文件夹”一项消失。这样,如果它以后生成的病毒文件中有具隐藏属性的,用户也将无法发现它们。然后,病毒迅速强行关闭用户系统中的安全软件,使自己以后都能为所欲为。包括卡巴斯基、瑞星、超级巡警、麦咖啡在内的大部分著名安全软件都是它的关闭目标。
解决掉安全软件后,病毒便开始进行感染。它会感染除系统目录外的exe、com、scr文件,所有被感染文件图标变为放大镜。病毒会在文件尾部加上字符串“firefox”作为感染标记,避免自己浪费时间进行二次感染,以提高破坏效率。被感染文件运行后,会将原始文件释放到当前目录,并在文件名后加上“#”,且设为隐藏属性。长此以往,用户的系统资源就会被占用。
碰到这种情况,一些用户可能会试图使用GHOST来进行修复,但很不幸,此病毒作案已经删除了所有GHOST系统备份文件。最后,病毒悄悄建立远程连接,从“http://www.4**m.i*v.tw/20**lib/eng/Image”这个由木马种植者指定的地址下载大量病毒文件到用户电脑上运行,给用户带来无法估计的更大破坏。同时,为扩大自己的传播范围,病毒还在各盘中生成AUTO病毒folder.exe文件和autorun.inf辅助文件,只要用户在中毒电脑上使用U盘等移动设备,病毒就会立即将其传染。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。