不支持Flash

年末木马也疯狂 28日警惕“木马下载器”来袭

http://www.sina.com.cn 2007年12月28日 10:11  eNet硅谷动力

  【eNet硅谷动力消息】“木马下载器20480”(Win32.TrojDownloader.wmTable.a.20480),这是一个下载者病毒。此病毒文件为muma.exe的可执行文件,但并不局限于该名称,病毒传播者也可能给它取别的名字。它会从指定的网址下载一份下载列表,下载并执行列表中的数十种盗号木马程序。

  “破天木马1851”(Win32.PSWTroj.OnlineGames.nc.18515),该病毒是网络游戏《破天一剑》的盗号木马。病毒运行后会衍生病毒文件至系统目录下,然后注入游戏进程,偷去游戏账号和密码等信息,并通过网页提交的方式发送到木马种植者手上。

  一、“木马下载器20480”(Win32.TrojDownloader.wmTable.a.20480)威胁级别:★

  此病毒进入系统后,并无释放文件的行为,它会立即运行自身病毒文件muma.exe,从http://m.*******.cn/wm/这一由木马种植者指定的网址下载一份名为wm.txt的文本文件。在这个文本文件中,包含了26个盗号木马程序的最新下载地址。

  当读取了下载列表,病毒就会悄悄建立远程连接,在用户无法知晓的情况下,下载列表中的木马程序,将它们存放于系统盘的%WINDOWS%\avp\目录下,并立刻把它们激活运行。由于木马种类众多,破坏行为也多样,这就会给用户的系统安全和虚拟财产带来无法估计的威胁。

  此外需要提及的是,此病毒名称并不固定,木马种植者可以给它起名muma.exe,也可以起其它名字。并且,它多为随其它病毒进入到用户系统的“帮凶”,如果用户在自己的电脑中发现它,意味着你的电脑中很可能已经潜入了其它病毒。

  二、“破天木马1851”(Win32.PSWTroj.OnlineGames.nc.18515)威胁级别:★

  病毒进入用户系统后,会在系统盘中释放出两个病毒文件,分别为系统根目录%WINDOWS%下的SSLDyn.exE和%WINDOWS%\system32\目录下的SSLDyn.dll。然后,修改注册表启动项,将自己的相关数据写入其中,达到随系统自动启动之目的。完成这个步骤后,病毒就将自己的原始文件删除,这样,用户就不容易发现自己电脑里出现多余的东西。

  如果病毒顺利地运行起来,它就会把之前生成的DLL文件注入到系统的桌面进程Explorer.exe,以及其它非系统进程当中,不停的搜索网络游戏《破天一剑》的进程。

  发现目标后,病毒立即注入其中,监视玩家与游戏服务器之间的通讯信息,从中过滤用户的账号和密码,得手后以网页提交的方式发送到木马种植者指定的网址http://www.j*****.cn/shijian/tempes/post.asp当中,给用户造成虚拟财产的损失。

  作者:

Powered By Google
不支持Flash
·《对话城市》直播中国 ·新浪特许频道免责公告 ·企业邮箱换新颜 ·邮箱大奖等你拿
不支持Flash
不支持Flash