跳转到路径导航栏
跳转到正文内容

31日病毒预警:网游木马盛行 U盘病毒猖獗

http://www.sina.com.cn  2008年10月30日 17:48  比特网ChinaByte

  “魔兽杀手”变种bz是“魔兽杀手”木马家族中的最新成员之一,采用Delphi语言编写,并且经过加壳保护处理。“魔兽杀手”变种bz运行后,在被感染计算机系统的临时文件夹中释放一个恶意DLL组件“WowInitcode.dll”。修改注册表,实现木马开机自动运行。在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏“魔兽世界Online”玩家的游戏账号、游戏密码、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),给游戏玩家带来不同程度的损失。同时,“魔兽杀手”变种bz还具有窃取玩家游戏账号密码保护的功能。因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码,否则会连同您的密码保护资料一同被骇客盗取,给您带来更大程度的损失。

  “恶搞鬼”变种f是“恶搞鬼”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统IE浏览器“IEXPLORE.EXE”进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“恶搞鬼”变种f会在被感染计算机系统的后台定时访问指定的恶意广告站点,提高这些恶意网站的访问量(网络排名),不仅给骇客带来经济利益,而且还会严重影响和干扰用户的正常操作。在被感染计算机系统中将自身注册为BHO(Browser Helper Object,浏览器辅助对象),实现木马随IE浏览器的启动而加载运行。另外,“恶搞鬼”变种f还会占用大量系统资源,极大地降低了系统的运行速度。

  “U盘寄生虫rea”(Worm.Win32.AutoRun.rea)该病毒图标伪装成图片诱惑用户点击,病毒运行后,创建互斥量防止病毒多次运行,删除%System32%目录下的mfc71.dll文件,遍历进程查找safeboxTray.exe(360安全软件进程),找到该进程后将其进程强行结束,设置本地时间为2004年,用ShellExecuteA函数调用cacls.exe给everyone 用户组对packet.dll、pthreadVC.dll、wpcap.dllnpf.sys 、npptools.dll、wanpacket.dll、acpidisk.sys 的完全控制,释放病毒驱动文件beep.sys到%System32%\Drivers目录下,替换现有的驱动文件,创建驱动设置名:“\.\RESSDTDOT”利用系统beep服务加载病毒文件,恢复SSDT躲避卡巴主动提示,遍历进程查找多款安全软件进程找到则将其进程强行结束,并停止多款安全软件服务,将%System32%目录下的wuauct.exe拷贝到%HomeDrive%下重命名:temp.temp,拷贝病毒自身到%System32%目录下与%System32%Dllcache目录下,调用iexplore.exe创建进程,调用FindWindows函数查找类名为"IEFrame" 窗口,申请内存空间,将病毒代码写入IEXPLORE.EXE连接网路执行下载,拷贝自身到%HomeDrive%下命名为:MSCL.PLF,在每个驱动器下创建AUTORUN.INF达到双击启动病毒目的,获取光标位置、获取窗口句柄、获取当前窗口标签内容,检测当前窗口标题是否存在病毒预设的标题(多款安全软件标题),如发现则向该窗体发送消息将当前窗体关闭,将病毒自身属性设置为隐藏,修改注册表、删除注册表破坏安全模式、添加注册表启动项、劫持多款安全软件进程。

上一页 1 2 下一页

Powered By Google 订制滚动快讯,换一种方式看新闻

新浪简介About Sina广告服务联系我们招聘信息网站律师SINA English会员注册产品答疑┊Copyright © 1996-2008 SINA Corporation, All Rights Reserved

新浪公司 版权所有