6.3毒报:AUTO键盘记录员监视键盘
新客网 XKER.COM 2008-06-04 来源:金山软件 收藏本文
“海量下载器1454080”(Win32.Hack.Huigezi.1454080),这是一个下载器病毒。它会伪装为视频文件,当用户点击后就向所有磁盘分区下复制自己,并修改系统日期,造成部分杀毒软件失效。然后下载大量其它病毒到用户电脑中运行。
“AUTO键盘记录员77824”(Win32.Troj.Agent.lm.77824),这是一个键盘记录器病毒。它利用U盘等移动存储器来进行传播,进入用户电脑后会修改注册表实现自启动,然后记录用户的键盘操作。
一、“海量下载器1454080”(Win32.Hack.Huigezi.1454080) 威胁级别:★★
这个下载器的狡猾之处在于,它会伪装成多种视频文件的格式,骗取用户点击,以实现运行。
病毒在系统的临时目录的%Temp%\WER8748.dir00\文件夹中释放出病毒文件mstsc.exe.hdmp和mstsc.exe.mdmp,同时将另两个病毒文件Se101.exe 和_Se101.exe释放到%Program Files%\Common Files\Microsoft Shared\MSInfo\目录中。此外,它还会把自己复制到全部的磁盘分区目录下。然后,就利用cmd命令删除自身原始文件,防止用户发现它的痕迹。
同时,病毒修改注册表,实现开机自启动。在这个过程中,它会修改系统时间为过去的随机时间,使得一些依赖系统时间来进行激活和升级的杀毒软件失效。在成功运行起来后,病毒就悄悄连接病毒作者指定的远程地址,下载大量的病毒列表,再根据列表中的地址去下载数量惊人的其它病毒文件。
经毒霸反病毒工程师检查,这些病毒大部分为网游盗号木马。当它们进入用户系统后就会迅速运行起来,大量占用系统资源,导致电脑运行越来越慢,甚至造成死机。
二、“AUTO键盘记录员77824”(Win32.Troj.Agent.lm.77824) 威胁级别:★
病毒在系统盘的%WINDOWS%\system32\目录和%WINDOWS%\system32\drivers\目录下释放出三个随机命名的病毒文件,三个文件同名,但分别为exe格式、dll格式、sys格式。这就可以作为识别该病毒的一个依据。
接着,病毒修改系统注册表启动项,实现开机自启动,如果它运行起来,就会对键盘进行监视,记录下用户的操作。
为扩散自己的传播范围,病毒会搜索包括U盘等移动存储器在内的全部磁盘分区,把自己的exe文件和一个Autorun.inf文件释放到其中。
最后,病毒使用cmd命令删除自己的原始文件,防止用户发现系统中出现多余的文件。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
“AUTO键盘记录员77824”(Win32.Troj.Agent.lm.77824),这是一个键盘记录器病毒。它利用U盘等移动存储器来进行传播,进入用户电脑后会修改注册表实现自启动,然后记录用户的键盘操作。
一、“海量下载器1454080”(Win32.Hack.Huigezi.1454080) 威胁级别:★★
这个下载器的狡猾之处在于,它会伪装成多种视频文件的格式,骗取用户点击,以实现运行。
病毒在系统的临时目录的%Temp%\WER8748.dir00\文件夹中释放出病毒文件mstsc.exe.hdmp和mstsc.exe.mdmp,同时将另两个病毒文件Se101.exe 和_Se101.exe释放到%Program Files%\Common Files\Microsoft Shared\MSInfo\目录中。此外,它还会把自己复制到全部的磁盘分区目录下。然后,就利用cmd命令删除自身原始文件,防止用户发现它的痕迹。
同时,病毒修改注册表,实现开机自启动。在这个过程中,它会修改系统时间为过去的随机时间,使得一些依赖系统时间来进行激活和升级的杀毒软件失效。在成功运行起来后,病毒就悄悄连接病毒作者指定的远程地址,下载大量的病毒列表,再根据列表中的地址去下载数量惊人的其它病毒文件。
经毒霸反病毒工程师检查,这些病毒大部分为网游盗号木马。当它们进入用户系统后就会迅速运行起来,大量占用系统资源,导致电脑运行越来越慢,甚至造成死机。
二、“AUTO键盘记录员77824”(Win32.Troj.Agent.lm.77824) 威胁级别:★
病毒在系统盘的%WINDOWS%\system32\目录和%WINDOWS%\system32\drivers\目录下释放出三个随机命名的病毒文件,三个文件同名,但分别为exe格式、dll格式、sys格式。这就可以作为识别该病毒的一个依据。
接着,病毒修改系统注册表启动项,实现开机自启动,如果它运行起来,就会对键盘进行监视,记录下用户的操作。
为扩散自己的传播范围,病毒会搜索包括U盘等移动存储器在内的全部磁盘分区,把自己的exe文件和一个Autorun.inf文件释放到其中。
最后,病毒使用cmd命令删除自己的原始文件,防止用户发现系统中出现多余的文件。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
0
最新相关文章- ·XP SP3被指包含易受侵害的旧版软件
- ·6.3毒报:AUTO键盘记录员监视键盘
- ·为用户安全! ESET NOD32增升级服务器
- ·Safari浏览器漏洞会导致Windows用户遭攻击
- ·5.29毒报:视觉控制监视电脑屏幕 完美世界盗号器
- ·红色警报:地震灾情网页暗藏“MIDI机器狗”木马
- ·5.28毒报:MS06-014漏洞下载器与黑客后门程序远程
- ·Flash插件存在漏洞 可被木马利用
- ·Google提供网站恶意软件侦测服务
- ·5.27毒报:非法扫描仪后门程序
- ·SQL注入攻击将威胁操作系统安全
- ·漏洞使Ubuntu可被攻击者伪造密钥
- ·NOD32升级到病毒库3120后大批误杀
- ·5.22病毒快报:小心冒险岛盗号者
发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
推荐阅读
阅读排行
随机推荐
实用信息推荐