|
||||
江民今日提醒您注意:在今天的病毒中Trojan/PSW.QQRobber.adw『QQ搶劫犯』變種adw和TrojanSpy.Agent.epb『代理木馬』變種epb值得關注。
病毒名稱:Trojan/PSW.QQRobber.adw
中文名:『QQ搶劫犯』變種adw
病毒長度:38014字節
病毒類型:木馬
危害等級:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQRobber.adw『QQ搶劫犯』變種adw是『QQ搶劫犯』木馬家族的最新成員之一,采用Delphi語言編寫,並經過加保護殼處理。『QQ搶劫犯』變種adw運行後,自我復制到被感染計算機系統的『啟動』目錄下,重命名為『系統補丁*.exe』(其中*號代表被感染計算機的名稱)。
修改注冊表,實現木馬開機自動運行。在『Program Files\Common Files\Microsoft Shared\MSInfo\』目錄下釋放病毒組件『atmQQ2.dll』。將『atmQQ2.dll』插入到所有用戶進程中加載運行,隱藏自我,防止被查殺。強行篡改被感染計算機上的系統時間,致使某款安全軟件功能失效。
在被感染的計算機上搜索某些與安全相關的軟件,一旦發現便強行將其關閉,大大降低被感染計算機上的安全性。刪除『QQDoctor.exe』文件,防止QQ登陸前查殺木馬。在被感染計算機後臺秘密監視用戶的操作,當用戶登陸QQ時利用HOOK技術記錄用戶的鍵盤操作,盜取QQ用戶名及其密碼,並發送到駭客指定的遠程服務器上,給用戶造成一定的損失。
病毒名稱:TrojanSpy.Agent.epb
中文名:『代理木馬』變種epb
病毒長度:20480字節
病毒類型:間諜類木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Agent.epb『代理木馬』變種epb是『代理木馬』木馬家族的最新成員之一,采用VC++ 6.0編寫,並經過加殼保護處理。『代理木馬』變種epb運行後,自我插入到被感染計算機的系統『RUNDLL32.EXE』進程中加載運行,隱藏自我,防止被查殺。修改注冊表,實現木馬開機自動運行。
在被感染計算機系統中的『%SystemRoot%\system32\drivers\』目錄下釋放惡意驅動文件『hbkernel.sys』,並將其注冊為系統服務,用來還原系統『SSDT HOOK』,從而使部分安全軟件的保護功能失效,達到躲避安全軟件的防御和查殺的目的。
在被感染計算機系統的後臺利用HOOK技術和內存截取等技術盜取網絡游戲《夢幻西游》玩家的游戲帳號、游戲密碼、倉庫密碼、角色等級、金錢數量、所在區服、計算機名稱等信息,並在後臺將玩家信息發送到駭客指定的遠程服務器上,致使玩家的游戲帳號、裝備物品、金錢等丟失,給游戲玩家帶來非常大的損失。
針對以上病毒,江民反病毒中心建議廣大電腦用戶:
1.請立即昇級江民殺毒軟件,開啟新一代智能分級高速殺毒引擎及各項監控,防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。
2.江民KV網絡版的用戶請及時昇級控制中心,並建議相關管理人員在適當時候進行全網查殺病毒,保證企業信息安全。
3.江民殺毒軟件的虛擬機脫殼技術,針對目前主流殼病毒進行虛擬脫殼處理,有效清除『殼病毒』。
4.全面開啟BOOTSCAN功能,在系統啟動前殺毒,清除具有自我保護和反攻殺毒軟件的惡性病毒。