【赛迪网-IT技术报道】本周(2008年4月21日至2008年4月27日)重点关注病毒“武装下载器69632”(Win32.Troj.DownLoaderT.dl.69632)。
“武装下载器69632”(Win32.Troj.DownLoaderT.dl.69632) 威胁级别:★★
具备对抗杀毒软件功能的下载器依然层出不穷,只要做木马能带来暴利,病毒作者们总会乐不知疲地研究入侵他人电脑的技术。
这个病毒进入系统后,会立即篡改注册表,关闭系统自带的错误报告服务(ERSvc),这样一来,无论它接下去如何做小动作,系统都无法向用户报告异常。当然,仅仅关闭系统自身服务是不够的,病毒还得对付杀毒软件。因此,该毒接下来就会修改系统时间为2005年,让所有依赖系统时间进行激活和升级的杀毒软件失效。该毒也会尝试搜索毒霸的进程,向其“操作”菜单发送“退出”命令,不过经检查,这一动作无法实现。
在解除电脑武装的同时,病毒修改注册表,将自己设置为启动项,实现开机自动运行。如果注意检查注册表,可发现病毒启动项的服务名称、显示名称、描述都为dd33gsd2。习惯手动查杀的用户,可以根据这一线索清除病毒。
最后,病毒连接病毒作者指定的远程地址http://al**a.ve**nx.cn/,下载木马地址列表,再根据其中的信息下载大量其它病毒到用户电脑中运行,引发更多的破坏。
此外,为扩大传播范围,病毒会在系统盘根目录下生成AUTO病毒文件auto.exe和autorun.inf,只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会传染上去。
此外值得关注病毒
“键盘记录员108627”(Win32.PSWTroj.OnLineGames.xn.108627) 威胁级别:★★
此篇预警播报中的病毒,是一个非常贪心的木马程序。它不仅仅是窃取网络游戏的账号,任何输入电脑的数据都会被它悉数盗走。
木马在系统中释放完文件后,首先会修改SSDT(系统服务调度表),从而解除各种具有主动防御功能的杀毒软件的武装。然后,它修改注册表中的相关数据,把病毒文件属性设置为“系统”、“隐藏”和“只读”,并将显示模式锁定为隐藏,让用户无法发现病毒文件。
接下来,病毒启动监视程序,监视用户的鼠标、键盘操作,从而记录下用户操作电脑时输入的各种信息。并每隔一段时间,就将这些偷到的信息加密,以邮件的形式通过SMTP通信协议和网页收信空间发送给木马作者。所谓的SMTP,是一种可以免除验证的通讯方式,能为WINDOWS系统用户之间的通讯提供便利,但也因此而被一些病毒作者所利用。
由于是采取完整的键盘记录,用户在中毒电脑上输入的所有信息都会被病毒作者所掌握。他只需经过简单的分析和筛选,便可从中找到用户输入的各种账号和密码,甚至可以掌握用户的个人隐私。
习惯手动查杀的用户,请留意病毒释放出的以下文件,分别为%WINDOWS%\system32\目录下的mmvo.exe和mmvo0.dll,以及系统临时目录%Temp%中的一个随机命名的.dll格式文件。一定要将它们清除,系统才可恢复正常。
“大胃王盗号者57344”(PE.Win32.PSWTroj.OnLineGames.ai.57344) 威胁级别:★
这个盗号木马的作案目标非常之广,所有在进程窗口中包含有“游戏”字样的网络游戏,都是它的作案对象,只要它能在用户电脑中顺利运行起来,便可以如同大胃王一般将用户电脑中的游戏账号悉数吞吃。
病毒在进入系统后立即在系统盘中释放出两个病毒文件,分别为%WINDOWS%\目录下的winform.exe和%WINDOWS%\temp\目录下的winform.dll。其中winform.exe是病毒的主文件,它的相关数据会被写入系统注册表,以实现开机自启动。而winform.dll则负责注入系统桌面进程,在其中查找进程窗口中带有“游戏”字样的程序,如果发现,就注入游戏的内存空间,读取账号和密码数据。习惯手动查杀的用户,请留意这两个文件,只要删除它们,再清理干净注册表,就能清除该毒了。
作案成功后,账号信息会被发送到病毒作者指定的地址,给用户造成虚拟财产的损失。不过由于技术含量不高,大部分安全软件都可以查杀它。但由于此类病毒近日出现频率较高,因此发出预警,向广大用户作为通报。
金山毒霸反病毒工程师建议
1.请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。
2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。
3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
(责任编辑:李磊)
