不支持Flash

网游大盗死盯卡巴斯基 AUTO特务自动激活

http://www.sina.com.cn 2007年12月05日 14:33  中关村在线
作者:中关村在线 张齐     记者从金山公司获悉,最近针对网游产品发作的木马正悄然流行,并且针对杀毒软件做了自身防护。

    一、“网游大盗57344”(Win32.hack.Unknown.b.57344)  威胁级别:★★
   
    病毒顺利潜入电脑系统后,会将自身文件MsIMMs32.exe复制到系统盘的%windows%目录下,然后修改注册表,将自己的相关数据加入其中,以实现开机自启动。
  
    当它开始运行时,会立刻创建一个线程,死盯卡巴斯基的报警和通知窗口,以及瑞星的注册表监控提示窗口,一旦发现它们弹出,就立刻将其关闭。这样一来卡巴和瑞星就无法向用户报告系统中的灾情。
  
    抢先关闭掉杀毒软件的提示窗口后,病毒就试图关闭金山毒霸、卡巴斯基、麦咖啡、江民、诺顿等杀毒软件的主程序,以便让自己可以在电脑系统中为所欲为。
  
    当解决掉杀毒软件,病毒就开始搜索浩方、彩虹岛、问道、惊天动地、完美世界,以及QQ游戏的主程序,发现它们后,就注入游戏进程,通过内存读取的方式盗取用户的帐号信息。并将其发送到http://**1.s**j***.com/c**h/lin.asp这个由木马作者指定的地址,给用户造成虚拟财产的损失。

    二、“AUTO特务89280”(Win32.Troj.AutoRun.te.v)  威胁级别:★★
   
    病毒进入电脑系统后,在系统盘中释放出六个病毒文件,分别为%windows%\temp\目录下的RarSFX0文件,%windows%\system32\Com\目录下的LSASS.EXE、netcfg.000、netcfg.dll、SMSS.EXE文件,%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\目录下的r[1].htm文件,以及%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\目录下的CAYNKA2Y.HTM文件。
   
    接着,病毒修改注册表中的相关数据,使系统的隐藏功能失效,只要具有隐藏属性的文件将无法显示。稍后,它在各磁盘分区中生成的AUTO病毒文件,分别pagefile.pif和autorun.inf,这两个文件都是隐藏的。只要用户点击盘符进入,就会再次激活病毒。此后,如果在者台电脑上使用U盘等移动存储器,就会被病毒传染。
   
    随后,病毒破坏注册表启动项,把许多正常的系统启动项从中删除,包括毒霸等安全软件的启动项。并且,病毒还释放出一个隐藏的文件“Broken SafeBoot”,用以破坏系统安全模式的。这样以来,用户将无法进入安全模式手动查杀。
   
    除以上罪行,该病毒还会引发ARP欺骗,导致在同一局域网内的机器网络异常。在该过程中,网络会时常断开,并会有病毒被下载到中了ARP的机器。

Powered By Google
不支持Flash
·《对话城市》直播中国 ·城市发现之旅有奖活动 ·企业邮箱换新颜 ·邮箱大奖等你拿
不支持Flash
不支持Flash