系统伤口下载器制造后门并下病毒
新客网 XKER.COM 2008-04-11 来源:金山 收藏本文
4月11日:“系统伤口下载器”(Win32.Troj.DropperT.cp.658432),这是一个木马下载器程序。它会在中毒电脑上打开端口,然后从病毒作者指定的地址下载病毒。
“捕鱼网盗号木马82153”(Win32.Troj.OnlineGameT.82153),这是一个盗号木马程序。它会采取不同方式来盗取多款网游帐号,并将盗取的赃物提交给病毒作者指定的网页。
一、“系统伤口下载器”(Win32.Troj.DropperT.cp.658432) 威胁级别:★
这是一个原理非常简单的木马下载器程序,但根据毒霸反病毒工程师们统计到的数据,最近该毒的传播速度却比较快,造成这种情况的可能是有人在进行故意传播。
该毒可以通过网页挂马和捆绑文件的方式进行传播。当它进入用户电脑后,会将病毒文件text.exe释放到系统盘的系统临时目录文件夹%WINDOWS%\Temp\中,并修改注册表启动项,让自己能在以后每次电脑开机时跟着跑起来。
如果可以顺利运行,病毒就会在系统盘下建立一个“14”文件夹,然后尝试与病毒作者指定的服务器的网络客户端建立点对点的通信,下载一个名为flashget_2240_1.exe的病毒文件,并运行它。由于病毒作者可以随时更换文件内容,所带来的损失也就无法判断。
另外,在实现下载的过程中,病毒会打开用户电脑系统的UDP 4000端口,制造后门来连接远程服务器,只要病毒作者愿意,他也可以利用这一后门控制用户电脑,为所欲为。
二、“捕鱼网盗号木马82153”(Win32.Troj.OnlineGameT.82153) 威胁级别:★
广撒网式的盗号木马又出现了,尽管不具备对抗杀毒软件的功能,但由于针对的目标多,作案成功的机率自然也就高,可以弥补破坏能力方面的不足。例如下面这个网游盗号木马,它采用的就是这种广撒网式的作案手段。
这个木马可以同时盗取《魔兽世界》、《传奇世界》以及全系列“QQ游戏”的帐号和密码。它运行起来后将自己注入系统桌面进程,搜索目前启动的进程中是否有自己的作案目标,如果有,就把自己加载到里面,盗取帐号信息。而针对不同游戏,它的盗号方式也有所不同。
当病毒找到QQ游戏的进程“qqgame.exe”时候,它就把QQ游戏目录里“config\Dynamic\”目录下的Account.cfg文件删除掉,由于这个文件包含了用户的全部基本帐号信息,用户再次登录时,就无法使用“记住密码和帐号”这样的功能,只得重新输入密码。而这时,病毒就可以读取游戏窗口的内存数据,获取用户信息。
而对于《魔兽世界》与《传奇世界》,它则采取读取游戏文件的方式,得到用户的游戏帐号和密码。
习惯手动查杀的用户,可以在系统临时目录%Temp%中找到病毒文件oewum45f.dll和wgod.sys 。另外,在%WINDOWS%\system32\目录下隐藏着病毒主文件msime.exe,病毒会将它写入注册表实现自启动。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
“捕鱼网盗号木马82153”(Win32.Troj.OnlineGameT.82153),这是一个盗号木马程序。它会采取不同方式来盗取多款网游帐号,并将盗取的赃物提交给病毒作者指定的网页。
一、“系统伤口下载器”(Win32.Troj.DropperT.cp.658432) 威胁级别:★
这是一个原理非常简单的木马下载器程序,但根据毒霸反病毒工程师们统计到的数据,最近该毒的传播速度却比较快,造成这种情况的可能是有人在进行故意传播。
该毒可以通过网页挂马和捆绑文件的方式进行传播。当它进入用户电脑后,会将病毒文件text.exe释放到系统盘的系统临时目录文件夹%WINDOWS%\Temp\中,并修改注册表启动项,让自己能在以后每次电脑开机时跟着跑起来。
如果可以顺利运行,病毒就会在系统盘下建立一个“14”文件夹,然后尝试与病毒作者指定的服务器的网络客户端建立点对点的通信,下载一个名为flashget_2240_1.exe的病毒文件,并运行它。由于病毒作者可以随时更换文件内容,所带来的损失也就无法判断。
另外,在实现下载的过程中,病毒会打开用户电脑系统的UDP 4000端口,制造后门来连接远程服务器,只要病毒作者愿意,他也可以利用这一后门控制用户电脑,为所欲为。
二、“捕鱼网盗号木马82153”(Win32.Troj.OnlineGameT.82153) 威胁级别:★
广撒网式的盗号木马又出现了,尽管不具备对抗杀毒软件的功能,但由于针对的目标多,作案成功的机率自然也就高,可以弥补破坏能力方面的不足。例如下面这个网游盗号木马,它采用的就是这种广撒网式的作案手段。
这个木马可以同时盗取《魔兽世界》、《传奇世界》以及全系列“QQ游戏”的帐号和密码。它运行起来后将自己注入系统桌面进程,搜索目前启动的进程中是否有自己的作案目标,如果有,就把自己加载到里面,盗取帐号信息。而针对不同游戏,它的盗号方式也有所不同。
当病毒找到QQ游戏的进程“qqgame.exe”时候,它就把QQ游戏目录里“config\Dynamic\”目录下的Account.cfg文件删除掉,由于这个文件包含了用户的全部基本帐号信息,用户再次登录时,就无法使用“记住密码和帐号”这样的功能,只得重新输入密码。而这时,病毒就可以读取游戏窗口的内存数据,获取用户信息。
而对于《魔兽世界》与《传奇世界》,它则采取读取游戏文件的方式,得到用户的游戏帐号和密码。
习惯手动查杀的用户,可以在系统临时目录%Temp%中找到病毒文件oewum45f.dll和wgod.sys 。另外,在%WINDOWS%\system32\目录下隐藏着病毒主文件msime.exe,病毒会将它写入注册表实现自启动。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
上一篇:“ARP蜗牛”攻击堵塞局域网 下一篇:焦点间谍修改注册表 篡改IE浏览器默认设置
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
- “德夫下载器”新变种篡改浏览器IE主页
- Apache mod_proxy模块远程拒绝服务漏洞
- 360安全卫士木马播报:新木马层出不穷
- “灰鸽子变种373760”创建IEXPLORE.EXE进程
- 蠕虫 Win32/Acnatt.A 生成其它恶意程序
- “网游窃贼”盗取多个网络游戏账号密码
- VMware Workstation存在缓冲区溢出漏洞
- 新版Firefox修正安全问题下周发布
- AUTO病毒破坏杀软下载恶意程序
- 股民注意:网络突现大量炒股诈骗垃圾邮件
- 卡巴斯基病毒周报:当心病毒嵌入网页
- po4a不安全方式创建临时文件时存在漏洞
- 07年安全方面你应该注意的10件事
- 下载:微软本月发布六个安全补丁
- 盗取网游《传奇》用户帐号的木马
实用信息推荐