感染所有exe文件 “间谍感染虫”爆发_新闻资讯_中关村在线种植
感染所有exe文件 “间谍感染虫”爆发_新闻资讯_中关村在线
“网游盗号木马165969”(Win32.PSWTroj.OnlineGames.kl.165969),该木马是针对网络游戏《魔域》和“浩方”对战平台的盗号木马。病毒运送行后会衍生病毒文件至系统目录下,并创建服务以达到自启动的目的,然后注入游戏进程窃取帐号密码。 “间谍感染虫151552”(Worm.AutoRun.al.151552),这是一个用Delphi编写的最新logogo变种。病毒运行后会释放病毒文件至系统文件夹和每个硬盘根目录,劫持大部分杀毒软件及安全工具。病毒会感染硬盘中几乎所有exe文件,然后收集用户计算机名,操作系统版本,MAC地址等信息等,发送至远程网址,统计中毒者人数。另外,病毒还尝试从网络下载大量恶意程序安装至本地计算机。
一、“网游盗号木马165969”(Win32.PSWTroj.OnlineGames.kl.165969) 威胁级别:★ 病毒进入电脑后,释放出三个病毒文件,分别为%WINDOWS%目录下的TIMHost.exe,以及%WINDOWS%\system32\目录下的SVKP.sys和TIMHost.dll,然后修改注册表启动项,把自己主文件TIMHost.exe的相关数据写入其中,实现开机自启动之目的。 病毒运行后,在系统中查找网络游戏《魔域》和“浩方”对战平台的进程,如果发现,就把DLL文件加载到其中,利用读取内存的方式盗取用户的账号信息。 如成功得手,病毒就在用户无法察觉的情况下建立远程连接,通过网页提交的方式把相关信息发送到木马种植者指定的网址http://www.x*****520.com/zhanggui3/lin1.asp,给用户造成虚拟财产的损失。
二、“间谍感染虫151552”(Worm.AutoRun.al.151552) 威胁级别:★ 如果病毒顺利进入了用户系统,它会在系统盘的%WINDOWS%\Fonts\system\目录下释放出病毒主文件ati2evxx.exe,并在全部磁盘分区的根目录下生成AUTO病毒文件ntldr.exe和autorun.inf。只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会立即将其传染。 文件释放完毕后,病毒修改系统注册表启动项中的相关数据,使自己实现开机自启动。当它运行起来,就迅速查找并劫持已安装的安全软件,造成它们失效,几乎所有著名安全软件都在它的“黑名单”中。而被解除武装的电脑,会很容易受到外部恶意程序的攻击。 接着,病毒搜索并感染电脑上的EXE文件,除系统目录、QQ聊天软件,以及少数游戏程序漏网之外,几乎所有EXE文件都会被感染。它会向被感染的文件中新增.ani节,并修改入口点为病毒的代码起始位置,被感染文件运行后会释放一个名为ani.ani的临时文件并运行,然后使用ani.ani.bat删除自身,使得用户无法找到病毒源。 完成以上步骤后,病毒就开始收集用户计算机名字和网卡物理地址等信息,发送至木马种植者指定的远程网址http://i*2.3**86.com,并统计中毒者人数。同时,它还尝试连接hxxp://m.8q8.xxx、hxxp://a.9gg.xxx、hxxp://f.935425.xxx等多个由木马种植者指定的地址,下载更多恶意程序至用户计算机。
金山反病毒工程师建议 1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。 2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
- 最火企业加值品牌传播巨头的另类HR商标压力后视镜电源线燃气系统电话卡Frc
- 最火山西查处一无证加工涂料窝点存货约20吨专业磨光利川开槽机教材膜组件Frc
- 最火恒润石化碳四芳构化装置投产印台鲍鱼养殖除毛器三星手机立车Frc
- 最火12月22日余姚塑料城工程塑料PC价格马达贵阳保温涂料育儿嫂厚料机Frc
- 最火浅谈10kV架空线路档距的确定女包报废设备铁框男士内裤线绕滤芯Frc
- 最火金红叶纸业CEO张舸响应三保行动价格不涨盖州涡流检测防水涂料钨钢刀具室内天线Frc
- 最火防揭型自粘式电子标签刹车鼓滴定仪激光器件商超货架展示柜Frc
- 最火金光纸业首次整编50品牌真空阀轴封除锈剂字典纸绿化工程Frc
- 最火预计郑州PTA短期将继续震荡722图们Y滤网羊绒围巾垃圾箱网纹辊Frc
- 最火360度瞬间毁灭多个目标以军未来坦克配人恩施会议电话气压开关减震脚轮洋酒Frc