网游大盗死盯卡巴斯基 AUTO特务自动激活
新客网 XKER.COM 2007-12-05 来源:中关村在线 收藏本文
记者从金山公司获悉,最近针对网游产品发作的木马正悄然流行,并且针对杀毒软件做了自身防护。
一、“网游大盗57344”(Win32.hack.Unknown.b.57344) 威胁级别:★★
病毒顺利潜入电脑系统后,会将自身文件MsIMMs32.exe复制到系统盘的%windows%目录下,然后修改注册表,将自己的相关数据加入其中,以实现开机自启动。
当它开始运行时,会立刻创建一个线程,死盯卡巴斯基的报警和通知窗口,以及瑞星的注册表监控提示窗口,一旦发现它们弹出,就立刻将其关闭。这样一来卡巴和瑞星就无法向用户报告系统中的灾情。
抢先关闭掉杀毒软件的提示窗口后,病毒就试图关闭金山毒霸、卡巴斯基、麦咖啡、江民、诺顿等杀毒软件的主程序,以便让自己可以在电脑系统中为所欲为。
当解决掉杀毒软件,病毒就开始搜索浩方、彩虹岛、问道、惊天动地、完美世界,以及QQ游戏的主程序,发现它们后,就注入游戏进程,通过内存读取的方式盗取用户的帐号信息。并将其发送到http://**1.s**j***.com/c**h/lin.asp这个由木马作者指定的地址,给用户造成虚拟财产的损失。
二、“AUTO特务89280”(Win32.Troj.AutoRun.te.v) 威胁级别:★★
病毒进入电脑系统后,在系统盘中释放出六个病毒文件,分别为%windows%\temp\目录下的RarSFX0文件,%windows%\system32\Com\目录下的LSASS.EXE、netcfg.000、netcfg.dll、SMSS.EXE文件,%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\目录下的r[1].htm文件,以及%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\目录下的CAYNKA2Y.HTM文件。
接着,病毒修改注册表中的相关数据,使系统的隐藏功能失效,只要具有隐藏属性的文件将无法显示。稍后,它在各磁盘分区中生成的AUTO病毒文件,分别pagefile.pif和autorun.inf,这两个文件都是隐藏的。只要用户点击盘符进入,就会再次激活病毒。此后,如果在者台电脑上使用U盘等移动存储器,就会被病毒传染。
随后,病毒破坏注册表启动项,把许多正常的系统启动项从中删除,包括毒霸等安全软件的启动项。并且,病毒还释放出一个隐藏的文件“Broken SafeBoot”,用以破坏系统安全模式的。这样以来,用户将无法进入安全模式手动查杀。
除以上罪行,该病毒还会引发ARP欺骗,导致在同一局域网内的机器网络异常。在该过程中,网络会时常断开,并会有病毒被下载到中了ARP的机器。
一、“网游大盗57344”(Win32.hack.Unknown.b.57344) 威胁级别:★★
病毒顺利潜入电脑系统后,会将自身文件MsIMMs32.exe复制到系统盘的%windows%目录下,然后修改注册表,将自己的相关数据加入其中,以实现开机自启动。
当它开始运行时,会立刻创建一个线程,死盯卡巴斯基的报警和通知窗口,以及瑞星的注册表监控提示窗口,一旦发现它们弹出,就立刻将其关闭。这样一来卡巴和瑞星就无法向用户报告系统中的灾情。
抢先关闭掉杀毒软件的提示窗口后,病毒就试图关闭金山毒霸、卡巴斯基、麦咖啡、江民、诺顿等杀毒软件的主程序,以便让自己可以在电脑系统中为所欲为。
当解决掉杀毒软件,病毒就开始搜索浩方、彩虹岛、问道、惊天动地、完美世界,以及QQ游戏的主程序,发现它们后,就注入游戏进程,通过内存读取的方式盗取用户的帐号信息。并将其发送到http://**1.s**j***.com/c**h/lin.asp这个由木马作者指定的地址,给用户造成虚拟财产的损失。
二、“AUTO特务89280”(Win32.Troj.AutoRun.te.v) 威胁级别:★★
病毒进入电脑系统后,在系统盘中释放出六个病毒文件,分别为%windows%\temp\目录下的RarSFX0文件,%windows%\system32\Com\目录下的LSASS.EXE、netcfg.000、netcfg.dll、SMSS.EXE文件,%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\目录下的r[1].htm文件,以及%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\目录下的CAYNKA2Y.HTM文件。
接着,病毒修改注册表中的相关数据,使系统的隐藏功能失效,只要具有隐藏属性的文件将无法显示。稍后,它在各磁盘分区中生成的AUTO病毒文件,分别pagefile.pif和autorun.inf,这两个文件都是隐藏的。只要用户点击盘符进入,就会再次激活病毒。此后,如果在者台电脑上使用U盘等移动存储器,就会被病毒传染。
随后,病毒破坏注册表启动项,把许多正常的系统启动项从中删除,包括毒霸等安全软件的启动项。并且,病毒还释放出一个隐藏的文件“Broken SafeBoot”,用以破坏系统安全模式的。这样以来,用户将无法进入安全模式手动查杀。
除以上罪行,该病毒还会引发ARP欺骗,导致在同一局域网内的机器网络异常。在该过程中,网络会时常断开,并会有病毒被下载到中了ARP的机器。
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐