病毒无限次“复活” AUTO网页弹射器危害升级

http://www.sina.com.cn 2007年12月17日 10:17  eNet硅谷动力

  【eNet硅谷动力消息】12月17日病毒预警:“AUTO网页弹射器”(Win32.Troj.MnLess.65536),这是一个恶意软件。该程序运行后会关闭瑞星,金山,卡巴等一些常用的反病毒软件,并在用户访问网页时弹出网页。它还会在全部磁盘的目录下生成AUTO病毒文件。

  “网游窃贼131072”(Win32.Troj.OnlineGames.vx.131072),这是一个网络游戏盗号木马变种。病毒运行后会复制自身至系统文件夹,注入桌面进程,查找查找《浩方游戏平台》、《剑侠情缘2》、《热血江湖》、《完美世界》等网络游戏的进程,如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息,然后将盗取信息发送至远程服务器。

  “AUTO网页弹射器”(Win32.Troj.MnLess.65536)威胁级别:★

  病毒进入电脑系统后,会释放出两个病毒文件,分别为%Program Files%\Uninstall Information\目录下的ichdf.exe,以及%windows%\inf\目录下的svchost.exe。然后,病毒修改注册表,将这两个文件的相关信息写入注册表的启动项。这样,以后病毒就可以随着系统的启动而自动运行起来。

  与此同时,病毒在全部的磁盘分区中生成AUTO病毒文件,只要用户试图双击打开染毒的磁盘,病毒就会被再次激活。在此之后,只要用户在这台电脑上使用U盘等移动存储器,病毒就会将其感染,借机扩大自己的地盘。

  Ichdf.exe和svchost.exe这两个病毒文件运行起来后,立刻查找并关闭金山、卡巴斯基、360、瑞星等厂家的安全软件。并且,它们还会互相守护,如果一个进程被用户或安全软件结束掉了,另一个会马上再次修改注册表“复活”它,这样一来,就加大了对病毒进行查杀的难度。

  最后,病毒修改用户IE浏览器的设置,当用户在浏览器的地址栏中输入网址时,病毒就会立即弹出一些木马种植者指定的网页,迫使用户点击。

  “网游窃贼131072”(Win32Troj.OnlineGames.vx.131072)威胁级别:★

  病毒顺利进入用户的电脑系统后,会在系统盘的%windows%目录下释放出cmdbcs.exe病毒文件,在%windows%\system32\目录下释放出cmdbcs.dll病毒文件,之后就删除掉自己的原文件,让用户不易发现它进入电脑时留下的痕迹。病毒还修改注册表启动项,把自己的信息加入其中,达到以后都可以随系统自动启动之目的。

  病毒运行起来后,就注入系统进程,开始查找网络游戏《完美世界》的游戏窗口“ElementClient Window”、“ZElementClient Window”,以及《浩方游戏平台》的进程“gameclient.exe”、《剑侠情缘2》的进程“SO2Game.exe”、《热血江湖》的进程“client.exe”。如果发现,就通过读写内存的方式盗取它们的用户帐号、密码,以及所在服务器等信息。

  如果得手,就会在用户无法知晓的情况下建立远程连接,把偷来的资料都发送到http://j*1.so****jj.com/c**h/lin.asp?s=%这个由木马种植者指定的邮箱,给用户造成虚拟财产的损失。

  作者:

Powered By Google
不支持Flash
·《对话城市》直播中国 ·新浪特许频道免责公告 ·企业邮箱换新颜 ·邮箱大奖等你拿
不支持Flash