伪装下载者善于伪装下载大量病毒
新客网 XKER.COM 2008-01-16 来源: 收藏本文
1月16日:“伪装下载者65536”(Win32.Riskware.wmicsmgr.b.65536),这是一个木马下载者程序。该病毒运行后,注册为浏览器帮助插件。它会在后台利用IE浏览器的进程空间来运行病毒代码,然后连接远程病毒站点,下载其它病毒程序到用户电脑中运行。
“QQ幻想盗号者16244”(Win32.PSWTroj.OnlineGames.16244),该病毒是针对网络游戏《QQ幻想》的一个盗号木马。它运行后会衍生病毒文件至系统目录下,然后注入游戏进程,伺机窃取玩家的帐号密码等信息。
一、“伪装下载者65536”(Win32.Riskware.wmicsmgr.b.65536) 威胁级别:★★
病毒进入系统后,在系统盘的%WINDOWS%\system32\目录下释放出病毒文件wmicsmgr.dll。需要注重的是,此病毒文件的文件名与WINDOWS系统自带的一个DLL文件名很相似,但正常的文件名为wmiscmgr.dll,而不是wmicsmgr.dll。
随后,病毒修改注册表,把自己的相关数据写入启动项中。它添加的启动项名称是wmicsmgr,注册为“浏览器帮助插件”,试图以此欺骗用户。当资源治理器或IE浏览器启动时,病毒就会随之加载运行起来。
当病毒被加载后,它就会在后台利用IE浏览器的进程空间来运行自己。这样做的好处是用户不轻易发现系统中出现多余的进程。假如成功运行起来,病毒就会连接到木马种植者指定的地址http://www.o*3*6.com/,获取最新的病毒下载地址,然后根据这些地址去下载更多的病毒程序到用户电脑中运行,给用户造成无法估计的更大损失。
二、“QQ幻想盗号者16244”(Win32.PSWTroj.OnlineGames.16244) 威胁级别:★
病毒进入用户系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%目录下的MsPrint32D.exe和%WINDOWS%\system32\目录下的MsPrint32D.dll。然后,修改注册表启动项,使自己以后都可以随着系统启动而自动运行。
完成以上步骤,病毒便执行一个自删除命令,把自己的原始文件删除,使用户不轻易发现电脑里出现了多余的文件。
病毒顺利运行起来后,会把之前生成的MsPrint32D.dll文件注入到系统桌面进程Explorer.exe中,通过读取内存的方式盗取用户的账号和密码等信息。一旦得手,就立即在用户无法知晓的情况下建立远程连接,把偷得的信息以网页提交的形式发送到木马种植者指定的网址“http://www.****.com//xiaoxiao/wu/req.asp”,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、碰到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
“QQ幻想盗号者16244”(Win32.PSWTroj.OnlineGames.16244),该病毒是针对网络游戏《QQ幻想》的一个盗号木马。它运行后会衍生病毒文件至系统目录下,然后注入游戏进程,伺机窃取玩家的帐号密码等信息。
一、“伪装下载者65536”(Win32.Riskware.wmicsmgr.b.65536) 威胁级别:★★
病毒进入系统后,在系统盘的%WINDOWS%\system32\目录下释放出病毒文件wmicsmgr.dll。需要注重的是,此病毒文件的文件名与WINDOWS系统自带的一个DLL文件名很相似,但正常的文件名为wmiscmgr.dll,而不是wmicsmgr.dll。
随后,病毒修改注册表,把自己的相关数据写入启动项中。它添加的启动项名称是wmicsmgr,注册为“浏览器帮助插件”,试图以此欺骗用户。当资源治理器或IE浏览器启动时,病毒就会随之加载运行起来。
当病毒被加载后,它就会在后台利用IE浏览器的进程空间来运行自己。这样做的好处是用户不轻易发现系统中出现多余的进程。假如成功运行起来,病毒就会连接到木马种植者指定的地址http://www.o*3*6.com/,获取最新的病毒下载地址,然后根据这些地址去下载更多的病毒程序到用户电脑中运行,给用户造成无法估计的更大损失。
二、“QQ幻想盗号者16244”(Win32.PSWTroj.OnlineGames.16244) 威胁级别:★
病毒进入用户系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%目录下的MsPrint32D.exe和%WINDOWS%\system32\目录下的MsPrint32D.dll。然后,修改注册表启动项,使自己以后都可以随着系统启动而自动运行。
完成以上步骤,病毒便执行一个自删除命令,把自己的原始文件删除,使用户不轻易发现电脑里出现了多余的文件。
病毒顺利运行起来后,会把之前生成的MsPrint32D.dll文件注入到系统桌面进程Explorer.exe中,通过读取内存的方式盗取用户的账号和密码等信息。一旦得手,就立即在用户无法知晓的情况下建立远程连接,把偷得的信息以网页提交的形式发送到木马种植者指定的网址“http://www.****.com//xiaoxiao/wu/req.asp”,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、碰到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
- Vista防毒测试 微软McAfee落马
- Apache HTTP Server Mod_Cache模块服务漏洞
- PC上10大最具破坏力病毒排行出炉
- 感染所有exe文件 “间谍感染虫”爆发
- 新型垃圾邮件肆虐网络 中小型企业提高警惕
- 江民宣布正式发布杀毒软件KV2008
- 狂发QQ中奖信息 12名疑犯每天发送上万条
- 青娱乐质疑十大流氓软件排行榜
- BEA WebLogic Server空密码组信息泄露漏洞
- 微软修补11个漏洞 活动目录漏洞最为严重
- 江民就艾瑞网络安全研究报告对媒体的声明
- 雅虎通ActiveX控件远程栈缓冲区溢出漏洞
- “下载者”关闭杀毒软件“代理木马”自动传播
- Vista SP1 RTM存在语音识别漏洞
- “风花雪月”制造后门并传播情书
实用信息推荐