|
注册会员
- UID
- 120
- 帖子
- 13
- 精华
- 0
- 积分
- 58
- 威望
- 0 WW
- 金钱
- 51 JY
- 贡献
- 0 GX
- 阅读权限
- 20
- 在线时间
- 3 小时
- 注册时间
- 2008-2-28
- 最后登录
- 2008-10-6
|
1#
大 中
小 发表于 2008-3-24 08:53 只看该作者
不要让木马再猖獗--蓝屏木马下载器
金山毒霸2008反病毒中心提醒,“蓝屏木马下载器”传播趋势严重.
“蓝屏木马下载器”,这是一个木马下载器程序.该程序会关闭一些常见的杀毒软件和安全辅助软件,并修改IE首页内容,启动IE从木马种植者指定网址下载别的木马.随着被下载到电脑中的木马越来越多,系统将无法承受庞大的资源占用,几分钟后,它就可能崩溃.
根据昨日金山毒霸官网检测到的病毒发作趋势数据,我们今天首先需要留意的仍是木马下载器.此次抽取出的这个下载器与我们之前多次预警过的大多数木马下载器一样,也具有对抗安全软件的能力——不用说,这已经是木马下载器目前的一个发展趋势了.
在进入用户电脑后,它把自己的病毒文件winlugan.exe释放到系统盘的%WINDOWS%\system32\目录下,并将其写入注册表启动项,让自己能够在每次电脑开机时都跟着跑起来.
此病毒进入用户系统后,在系统盘下释放出大量EXE和DLL格式的病毒文件,主要集中在系统盘的%WINDOWS%\Temp\、%ProgramFiles%、%WINDOWS%\Fonts\、%WINDOWS%\system32\等目录下.其中全部的DLL文件都会被注入到系统桌面进程exploer.exe中,利用它创建远线程,以实现下一步的隐蔽下载.
如果能顺利运行,病毒就对%WINDOWS%\system32\wbem\Repository\FS\目录下的INDEX.BTR、MAPPING.VER、MAPPING1.MAP、OBJECTS.DATA 、OBJECTS.MAP等文件进行数据删改,使得自己掌握对系统命令的控制权.同时,它抢先查找并关闭金山毒霸2008、麦咖啡、东方微点、卡巴斯基等杀毒软件,以及安全辅助软件360安全卫士的进程,让自己的行动更加自由.
完成以上动作后,病毒就在后台建立远程连接,从http://5y*rscon**a*t.com这个由木马种植者指定的地址下载包括盗号木马在内的大量恶意程序到用户电脑上运行,给用户造成无法预计的损失.由于下载数量大、并且盗号木马进入系统后一窝蜂地注入系统进程,将导致电脑系统被严重占用,几分钟后蓝屏死机.
由于虚拟财产与真实财产的可互换性,网游帐号一直是木马制作者眼中的最佳猎物,写个盗号木马放出去,那些拥有顶级装备的网游帐号就会自动送上门来,然后只需把装备和帐号卖掉,就可以数钱了.正是抱着这种思想,无良程序员们开足了马力,疯狂地制作着各种盗号木马.
这种盗号木马,它的目标是《梦幻西游》、《魔兽世界》、《大话西游3》等三款网游.进入系统后,它释放出两个病毒文件,分别是%WINDOWS%目录下的DbgHlp32.exe和%WINDOWS%\system32\目录下的DbgHlp32.dll,并修改注册表实现自启动.接着,此病毒会查找并关闭卡巴斯基和瑞星的注册表监视窗口,切断杀毒软件与用户之间的联系——这是当然,既然要偷你的东西,肯定就不能让你察觉.
仅仅是做到以上步骤还不够,病毒会搜索用户电脑上是否有MS06-014漏洞和超星阅读器的漏洞,如果有,它就可以启动下载程序,从木马种植者指定的地址http://w**.vg/*.exe下载大量木马.
要避免受到盗号木马的侵害,除每天升级毒霸外,最有效的方法是遵守网游规则,不要随便下载未经官方认可的外挂插件,这样可以避免盗号木马混进电脑.此外,对于那些不良网站,最好也避而远之,因为很多时候这类网站会挂有大量盗号木马及其它恶意程序.
在它下载的木马中,有一个隐藏在%TEMP%文件夹中的oKoK.exe文件会在%ProgramFiles%目录下生成一个svchost.exe病毒文件,该文件会对局域网发出ARP攻击,致使局域网内所有的机器在访问网页时,都会被挂上恶意代码,感染下载器.随着大量的木马程序被下载到本地执行,系统反应会变得格外迟钝,最后宕机.
在宕机之前,许多盗号木马已经修改好系统注册表,等你重启电脑后,它们就能顺利跑起来,尽情地偷东西了.当然,如果已经安装了毒霸并完成升级,则可免去担心.
病毒进入电脑后,在系统盘下生成两个病毒文件,分别为%WINDOWS%目录下的MsPrint32D.exe和%WINDOWS%system32\目录下的MsPrint32D.dll.其中MsPrint32D.exe是病毒的主文件,病毒将它的数据写入注册表启动项后,就可以实现开机自启动.而MsPrint32D.dll则负责注入系统进程及网络游戏游戏《破天一剑》的进程,盗取游戏账号.
此病毒盗号的原理是利用消息监控程序监听用户与游戏服务器之间的通讯数据,从中筛选出游戏账号和密码,并以网页提交的方式发送到木马种植者(黑客)指定的网址http://den*******.skpay.net.cn/hu111/post.asp中,给用户造成虚拟财产的损失.
此外,该病毒拥有自我删除的功能,当文件释放完毕后,它就会删除自己的原始文件,令用户难以找到病毒源,从而使自己在系统中一直呆下去.只要不被清除,即便用户找回帐号密码,也会很快再次被盗.
金山病毒2008工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒.用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全.
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机.
金山毒霸反病毒应急中心及时进行了病毒库更新,升级金山毒霸2008的病毒库即可查杀以上病毒;如未安装金山毒霸2008,可以登录金山毒霸官方网站: http://www.jinshandb.cn免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵.拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮
|
