病毒周报(100726至100801)

动物家园计算机安全咨询中心( www.kingzoo.com )反病毒斗士报:

“魔兽窃贼”(Trojan/Win32.WOW.ipo[Stealer]) 威胁级别:★★

    该恶意代码文件为魔兽世界游戏盗号木马,病毒运行后遍历进程查找avp.exe、ravmond.exe进程,如果2个进程存在任意一个,则会判断注册表是否有魔兽世界注册表项,直到找到该注册表项为止,如果不存在以上2个进程,则会遍历进程查找wow.exe、backgrounddownloader.exe进程并将其强行结束,遍历注册表查找魔兽世界注册表键值,找到之后删除魔兽世界目录下的ksuser.dll文件(如果注册表不存在魔兽世界键值则不衍生),并重新创建一个同名文件到游戏目录下,将属性设置为隐藏,创建互斥体防止病毒多次运行,再次遍历进程查找avp.exe、ravmond.exe进程如果找到进程,则衍生DLL文件到%TEMP%临时目录下,使用rundll32.exe启动衍生的病毒DLL文件,如果进程中不存在以上2个安全软件进程,则会衍生随机病毒名文件到%TEMP%临时目录下,动态加载衍生的随机病毒名文件,调用病毒DLL模块HHHH来设置钩子,通过消息钩子截取魔兽世界游戏账号密码,将截取的游戏账号密码以email和URL方式发送到病毒作者地址中。
“骗取者”(Trojan/Win32.QQPass.vcf[stealer]) 威胁级别:★★

    该病毒运行后,创建窗体,调用系统API函数将窗口最小化到托盘,获取注册表QQ安装位置,添加启动项;释放加密文件到系统根目录下,读取内容后将其删除;修改系统host文件,使访问腾讯官方网站、深圳市公证处网站指向恶意网站;遍历系统进程,反制反病毒软件;该病毒运行一定时间后会在系统托盘图标假冒腾讯信息提示,如果双击该提示会显示假冒的腾讯系统消息,并要求用户点击查看详细信息进入恶意网站。此网站为钓鱼网站。

“代理木马”(Trojan/Win32.Agent.emvl) 威胁级别:★★

    该病毒为木马类,病毒运行后复制自身到系统目录,并重命名,衍生病毒文件,并删除自身。修改注册表,添加服务项,以达到随机启动的目的。删除注册表中的服务项,修改注册表项以关闭错误报告。主动连接网络,更新病毒文件,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。

动物家园计算机安全咨询中心反病毒工程师建议:

   1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
   5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询

你可能感兴趣的:(职场,广告,病毒,休闲,木马,间谍)