病毒突破主动防御 木马伪装成Skype程序
“破防盗号者98396”(Win32.Troj.OnlineGamesT.nr.98396),这是一个盗取多款网游密码的盗号木马。该木马会突破杀毒软件的主动防御,关闭杀毒软件进程。注入游戏进程,从中读取游戏玩家的帐号信息,然后发送给木马种植者。
“木马下载者959488”(Win32.Troj.DownLoaderT.xy.959488),该木马伪装成Skype的安装程序,运行后,复制自身到系统文件夹,在注册表中添加Browser Helper Objects(BHO)项,在系统启动后随Exporer.exe启动,通过DLL注入到Explorer.exe,在网络可用时下载大量木马病毒,下载的木马病毒等会破坏用户系统并盗取信息。
一、“破防盗号者98396”(Win32.Troj.OnlineGamesT.nr.98396) 威胁级别:★★
病毒进入用户的电脑系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%\system32\下的naijoad.dll和%WINDOWS%\system32\drivers\目录下的msacpe.sys。接着,它修改注册表中的相关数据,使自己可以在开机后自动运行。
病毒释放出的文件各有分工。其中,Msacpe.sys在运行后会查找目前电脑上安装的杀毒软件,并帮助病毒突破杀毒软件的主动防御,而naijoad.dll被注入到系统的每个进程,搜索作案对象。它的作案对象是《奇迹世界》,《魔兽世界》,《大话西游》等多款网络游戏。
当病毒运行起来后,它就会读取配置文件,并根据配置文件中的信息不断注入进程,搜索并盗取游戏的帐号,最后发送盗取的信息到木马种植者指定网站,给游戏玩家造成虚拟财产的损失。
二、“木马下载者959488”(Win32.Troj.DownLoaderT.xy.959488) 威胁级别:★
病毒进入电脑系统后,会在系统盘中释放出4个病毒文件,分别是%WINDOWS%目录下的akbsertts.dll,以及%WINDOWS%\system32\目录下的esjok.ini、skype.exe、xjlclzvskvwde.dll。随后,它修改注册表中的相关数据,将自己设置为随系统启动而启动。
该木马的主程序文件名skype.exe与Skype的程序同名,而且它在注册表中添加自己时,是伪装成Browser Helper Objects(BHO,简单地说,是IE浏览器的一种第三方协议技术)项。这样,就具备一定的迷惑性,容易骗过用户。
当它随系统桌面进程Exporer.exe启动后,就会注入到Explorer.exe,利用该进程空间运行自己,以避免被用户发现。然后就在网络可用时连接木马种植者指定的远程服务器http://www.e-**k.cn,下载大量其它病毒,而这些病毒会破坏用户系统,并盗取敏感信息,给用户造成无法估计的损失。
最新相关文章- ·金山19日病毒预警:小心“针孔下载器”等木马
- ·江民18日病毒播报:小心“Explorer侵蚀者”
- ·江民17日病毒播报:小心“桌面幽灵”和“萨德纳”
- ·江民16日病毒播报:小心"斯莱德"和"代理木马"
- ·大蜘蛛提醒您小心“Windows更新”陷阱
- ·江民8月15日病毒播报:小心“焦点间谍”变种
- ·瑞星8月15日病毒播报:“安德夫木马变种”
- ·趋势科技:杀毒软件不可能一辈子免费
- ·8.13毒报:隐身木马隐藏进程下木马
- ·江民13日病毒播报:小心"伪颗粒"和"DNS变色龙"
- ·超强工具在关机状态下破解操作系统密码
- ·卡巴斯基全功能安全软件2009白皮书
- ·卡巴检测到攻击MySpace的新蠕虫
- ·提高警惕 防范坏人利用QQ聊天实行网上诈骗
发表评论