病毒名称:“强盗变种”(Trojan.Hijacker.ju)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 修改注册表键键值实现开机自动运行
2. 结束安全软件的正常运行
3. 安装消息钩子监视当前的系统状态
4. 将信息发送到骇客指定的收信页面
感染形式:
这是一个专门盗取“剑侠情缘2 Online”网络游戏会员账号的木马程序,病毒会在被感染系统文件夹下读取保存着加密收信地址的配置文件“BcHCMJEEXFxaCm3q.Ttf”。遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件便会尝试将其结束,从而达到了自我保护的目的。病毒运行后会首先确认自身是否已经插入到桌面进程“explorer.exe”中。安装消息钩子等,监视当前的系统状态,伺机进行恶意操作。插入游戏进程“so2game.exe”或“so2gamefree.exe”中,利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃得的这些机密信息发送到骇客指定的收信页面“http://2e8u9y78ey.b*17173.com/1awdwd2ewaeeawed/dww2dwe23.asp”等上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,病毒会修改注册表键“ShellExecuteHooks”的键值,以此实现开机后自动运行。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒名称:“变异体变种”(TrojanDownloader.Geral.acb)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 修改键值实现木马的开机自启。
2. 释放恶意DLL文件
3. 下载指定文件并读取其中的恶意程序下载地址
4. 下载恶意程序并调用运行
感染形式:
这是一个木马下载器,病毒运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下先后释放恶意DLL文件“syste2.dll”和“*.dll”(随机7个字符),还会释放恶意驱动程序,然后移动自身到“%SystemRoot%\system32\”文件夹下重新命名为“system.exe”。利用恶意驱动程序,“变异体”变种acb可以结束某些安全软件的进程,以此达到自我保护的目的。病毒会下载指定文件并读取其中的恶意程序下载地址,之后下载恶意程序并调用运行。这些恶意程序可能为盗号木马、远程控制木马、广告程序等,从而给用户造成不同程度的风险。病毒还会在被感染系统的所有分区及可移动存储设备根目录下创建“autorun.inf”(自动播放配置文件)和脚本文件“autorun.vbs”,以此实现双击盘符后激活“system.exe”的目的。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“锁定凶手”变种(TrojanDownloader.Murlo.aem)”
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 替换系统文件实现开机自启动
2. 连接指定的页面地址
3. 下载大量恶意程序
感染形式:
该病毒是一款木马下载器,病毒运行后,会检测系统中是否运行着“QQ.exe”,以此判断计算机是否处于联网状态。之后会向攻击者指定的页面地址“http://tg.fs0*.cn/w1/getmac.asp”反馈被感染计算机的相关信息。下载“http://txt.gg*db.com/xx.txt”到临时文件夹下,根据该文件中的地址列表下载大量恶意程序到用户计算机中并调用运行,用户可能因此而遭受到账号丢失、被远程控制等安全威胁。其还会下载“http://txt.gg*db.com/ad.txt”并替换系统“hosts”文件,从而通过域名劫持的方式屏蔽相关的站点。另外,病毒还会单独下载恶意程序“http://dd.edd*x.com/xx.exe”并调用运行。病毒会通过替换系统文件“userinit.exe”的方式实现开机自启动。
预防和清除:
建议电脑用户采取以下措施预防该病毒:安装安全软件并及时升级,做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
信息提供:
以上信息由上海市信息化服务热线(热线电话:9682000)提供。