机器狗穿透还原软件 驱动级病毒崭露头角
“机器狗变种11636”(Win32.Troj.Agent.dz.11636),这是一个可以穿透还原软件的病毒。病毒通过直接读写文件簇来绕过一些文件过滤系统的监视,病毒会释放一个驱动来实现还原软件的穿透,并修改系统文件USERINIT.EXE,中毒后每次开机就会下载大量木马到本地运行。
“破天木马151552”(Win32.PSWTroj.OnlineGames.qi.151552),该病毒是网络游戏《破天一剑》的盗号木马。病毒运行后会衍生病毒文件至系统目录下,并注入系统进程,伺机盗取用户的账号和密码等信息,并通过网页提交的方式发送到木马种植者手上。
“机器狗变种11636”(Win32.Troj.Agent.dz.11636) 威胁级别:★★
病毒进入系统后,会释放病毒文件pcihdd.sys到 %WINDOWS%\system32\drivers\目录下,并立刻运行起来。它首先判断用户系统是否正接受着冰点还原软件和硬盘保护卡的保护,如果有,它便解除冰点还原软件和和硬盘保护卡对系统的保护。
然后,病毒展开搜索,看看用户的windows操作系统中是否存在MS06-014和MS07-017等多个漏洞,同时也查看其它应用软件是否存在安全漏洞,如有,它接下来会查看目前的网络链接是否通畅。
只要确定网络链接畅通,病毒就在用户无法知晓的情况下建立远程连接,从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等木马种植者指定的网址下载大量盗号木马,盗取《传奇》、《魔兽世界》、《征途》、《奇迹》等多款网络游戏的帐号和密码,严重威胁游戏玩家虚拟财产的安全。由于冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。
需要注意的是,此病毒运行完成后会删除自身,销毁曾进入过电脑系统的证据,使用户无法理解自己是怎么中的毒。
“破天木马151552”(Win32.PSWTroj.OnlineGames.qi.151552) 威胁级别:★
病毒进入用户的电脑系统后,会在系统盘中释放出两个病毒文件,分别为系统根目录的 %WINDOWS%下的MsPrint32D.exe,以及%WINDOWS%\system32\目录下的MsPrint32D.dll。并修改注册表启动项,将自己的相关信息加入其中,以达到随系统自动启动之目的。完成这个过程后,病毒就会自动删除原文件,避免被用户发现。
当病毒开始运行,它会注入到系统的桌面进程Explorer.exe,以及其它非系统进程当中,不断搜索网络游戏《破天一剑》的进程,一旦发现,就立即建立消息监视,从用户与游戏服务器之间的通信中筛选用户的账号和密码等信息。
如果得手,就在后台建立远程连接,以网页提交的方式把赃物发送到http://den*******.skpay.net.cn/hu111/post.asp这一由木马种植者安排好的网址当中,给用户造成虚拟财产的损失。
最新相关文章发表评论- eCentrex VOIP Client现缓冲区溢出漏洞
- QQ大盗病毒活动猖獗 秘密窃取用户QQ密码
- 江民发布MSN性感相册蠕虫专杀工具(附下载)
- 黑客胆子真够大 CA安全站点也被黑了!
- U盘病毒卷土重来 化身"方块Q"趁机作案
- 千千静听 med 文件格式堆溢出
- 连接恶意网站下载其他病毒的木马
- 七夕将至防病毒 惯用欺骗伎俩全面盘点
- VMware虚拟磁盘加载服务Reconfig.DLL漏洞
- 警惕蠕虫通过MSN发送G038_jpg.zip压缩包
- 强悍“小浩”病毒 破坏力超“熊猫烧香”
- 高危害病毒:可"智能"关闭卡巴/瑞星监控
- Ipswitch WS_FTP服务器远程脚本注入漏洞
- 病毒营销:类AV终结者病毒设计感染统计功能
- “网游大盗”专门窃取《热血江湖》玩家账号