病毒与IE形影不离 自我删除更加隐蔽
同样,QQ幻想盗号者木马的伪装方式更加新奇,采取自我删除措施,在释放了新病毒后删除自身,这种逃避杀毒软件的方式让用户在不知不觉的情况下中了新的病毒。
“伪装下载者65536”(Win32.Riskware.wmicsmgr.b.65536),这是一个木马下载者程序。该病毒运行后,注册为浏览器帮助插件。它会在后台利用IE浏览器的进程空间来运行病毒代码,然后连接远程病毒站点,下载其它病毒程序到用户电脑中运行。
“QQ幻想盗号者16244”(Win32.PSWTroj.OnlineGames.16244),该病毒是针对网络游戏《QQ幻想》的一个盗号木马。它运行后会衍生病毒文件至系统目录下,然后注入游戏进程,伺机窃取玩家的帐号密码等信息。
一、“伪装下载者65536”(Win32.Riskware.wmicsmgr.b.65536) 威胁级别:★★
病毒进入系统后,在系统盘的%WINDOWS%\system32\目录下释放出病毒文件wmicsmgr.dll。需要注意的是,此病毒文件的文件名与WINDOWS系统自带的一个DLL文件名很相似,但正常的文件名为wmiscmgr.dll,而不是wmicsmgr.dll。
随后,病毒修改注册表,把自己的相关数据写入启动项中。它添加的启动项名称是wmicsmgr,注册为“浏览器帮助插件”,试图以此欺骗用户。当资源管理器或IE浏览器启动时,病毒就会随之加载运行起来。
当病毒被加载后,它就会在后台利用IE浏览器的进程空间来运行自己。这样做的好处是用户不容易发现系统中出现多余的进程。如果成功运行起来,病毒就会连接到木马种植者指定的地址http://www.o*3*6.com/,获取最新的病毒下载地址,然后根据这些地址去下载更多的病毒程序到用户电脑中运行,给用户造成无法估计的更大损失。
二、“QQ幻想盗号者16244”(Win32.PSWTroj.OnlineGames.16244) 威胁级别:★
病毒进入用户系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%目录下的MsPrint32D.exe和%WINDOWS%\system32\目录下的MsPrint32D.dll。然后,修改注册表启动项,使自己以后都可以随着系统启动而自动运行。
完成以上步骤,病毒便执行一个自删除命令,把自己的原始文件删除,使用户不容易发现电脑里出现了多余的文件。
病毒顺利运行起来后,会把之前生成的MsPrint32D.dll文件注入到系统桌面进程Explorer.exe中,通过读取内存的方式盗取用户的账号和密码等信息。一旦得手,就立即在用户无法知晓的情况下建立远程连接,把偷得的信息以网页提交的形式发送到木马种植者指定的网址“http://www.****.com//xiaoxiao/wu/req.asp”,给用户造成虚拟财产的损失。
最新相关文章发表评论- 会感染常用软件及系统文件的病毒
- 海量下载器下载海量病毒多重破坏
- 看看Windows狂热爱好者盖的房子
- 近期盗取网络游戏账号密码木马猖獗
- Sophos Anti-Virus存在文件绕过检测漏洞
- eCentrex VOIP Client现缓冲区溢出漏洞
- 千足虫家族新变种使用进程保护技术
- iPhone功能过多加密专家认为其更不安全
- Apache Tomcat 的多个远程信息泄露漏洞
- Samba NSS_Info插件存在本地权限提升漏洞
- 小心盗号木马并会下载其他病毒
- “网络盗窃者18432”盗取网络游戏账号密码
- 病毒躲避杀毒软件监控 降低电脑安全级别
- “帕虫变种P”通过QQ向好友发送病毒链接
- 思科发布垃圾邮件、病毒和恶意软件报告