http://tech.rednet.cn/c/2007/12/28/1406189.htm
預警:木馬下載器會下載大量木馬病毒
“木馬下載器20480”(Win32.TrojDownloader.wmTable.a.20480),這是一個下載者病毒。此病毒檔為muma.exe的可執行檔,但並不局限於該名稱,病毒傳播者也可能給它取別的名字。
它會從指定的網址下載一份下載列表,下載並執行列表中的數十種盜號木馬程式。
“破天木馬1851”(Win32.PSWTroj.OnlineGames.nc.18515),該病毒是網路遊戲《破天一劍》的盜號木馬。病毒運行後會衍生病毒檔至系統目錄下,然後注入遊戲進程,偷去遊戲帳號和密碼等資訊,並通過網頁提交的方式發送到木馬種植者手上。
一、“木馬下載器20480”(Win32.TrojDownloader.wmTable.a.20480)威脅級別:★
此病毒進入系統後,並無釋放檔的行為,它會立即運行自身病毒檔muma.exe,從http://m.*******.cn/wm/這一由木馬種植者指定的網址下載一份名為wm.txt的文字檔。在這個文字檔中,包含了26個盜號木馬程式的最新下載位址。
當讀取了下載清單,病毒就會悄悄建立遠端連接,在使用者無法知曉的情況下,下載清單中的木馬程式,將它們存放於系統磁片的%WINDOWS%\avp\目錄下,並立刻把它們啟動運行。由於木馬種類眾多,破壞行為也多樣,這就會給使用者的系統安全和虛擬財產帶來無法估計的威脅。
此外需要提及的是,此病毒名稱並不固定,木馬種植者可以給它起名muma.exe,也可以起其它名字。並且,它多為隨其它病毒進入到使用者系統的“幫兇”,如果用戶在自己的電腦中發現它,意味著你的電腦中很可能已經潛入了其它病毒。
二、“破天木馬1851”(Win32.PSWTroj.OnlineGames.nc.18515)威脅級別:★
病毒進入使用者系統後,會在系統磁片中釋放出兩個病毒檔,分別為系統根目錄%WINDOWS%下的SSLDyn.exE和%WINDOWS%\system32\目錄下的SSLDyn.dll。然後,修改登錄開機項,將自己的相關資料寫入其中,達到隨系統自動啟動之目的。完成這個步驟後,病毒就將自己的原始檔刪除,這樣,用戶就不容易發現自己電腦裡出現多餘的東西。
如果病毒順利地運行起來,它就會把之前生成的DLL檔注入到系統的桌面進程Explorer.exe,以及其它非系統進程當中,不停的搜索網路遊戲《破天一劍》的進程。
發現目標後,病毒立即注入其中,監視玩家與遊戲伺服器之間的通訊資訊,從中過濾使用者的帳號和密碼,得手後以網頁提交的方式發送到木馬種植者指定的網址http://www.j*****.cn/shijian/tempes/post.asp當中,給用戶造成虛擬財產的損失。
http://tech.rednet.cn/c/2007/12/25/1403650.htm
預警:AUTO病毒可導致某些殺毒軟體失效
“AUTO病毒18992”(Worm.AutoRunsT.ot.18432),這是一個AUTO病毒。病毒成功運行後會在系統磁片下生成AUTO病毒和病毒可執行檔。通過這些病毒檔修改系統時間為2005年,使依賴系統時間有效性的殺軟失效。病毒會感染殺軟中的可執行檔,如果用戶打開毒霸反間諜的隱蔽軟體掃描,會有許多偽裝成毒霸網頁的病毒頁面迅速地自動打開,嚴重佔用系統資源,造成死機的可能性。
“問道木馬213001”(Win32.Troj.Unknown.213001),這是一個針對網路遊戲《問道》的盜號木馬。該木馬首先會遍歷進程清單查找是否有卡巴斯基的進程,如果找到則修改系統時間為2003年,導致卡巴斯基失效。然後,該木馬會注入桌面進程explorer.exe中,並展開全域監視,如果發現遊戲主程序便注入其中,盜取使用者的帳號資訊。
一、“AUTO病毒18992”(Worm.AutoRunsT.ot.18432)威脅級別:★★
當病毒進入系統後,會將兩個病毒檔植入系統磁片中,其隱藏目錄位於%WINDOWS%\system32\下,分別為26E07E70.EXE和3DEF2E8.DLL。並且病毒還在各盤中生成AUTO病毒,分別是auto.exe和autorun.inf輔助檔,它們都具有隱藏屬性。當使用者滑鼠左鍵按兩下進入有AUTO毒的盤符時,病毒隨即觸發。隨後病毒就修改註冊表,創建服務,達到開機自啟動的效果。
當系統重新開機後,病毒便可自動運行起來,它會將修改系統時間為修改為2005年,使依賴時間的軟體全部失效。由於有許多殺毒軟體也是依賴系統時間來進行升級和註冊,所以使用者的系統安全也就毫無疑問的會被降低,容易被其它病毒侵入。
隨後,該病毒搜索並感染已安裝的殺毒軟體的可執行檔,並且嘗試阻止用戶對它進行檢查,比如用戶使用毒霸的反間諜隱蔽軟體掃描時,病毒會突然彈出大量關於偽裝成與毒霸相關的網頁。由於這些病毒網頁打開的的速度極快、數量繁多,系統資源將會被嚴重佔用,最後甚至會掛掉。
二、“問道木馬213001”(Win32.Troj.Unknown.213001)威脅級別:★
病毒在使用者電腦系統裡成功運行起來後,就把自己複製到系統磁片的%WINDOWS%\system32\目錄,病毒檔有兩個,分別為kawdcaz.exe和kawdcaz.bat。然後它把把自己的屬性設為系統隱藏,這樣就不容易被用戶發現。它還會修改註冊表,把自己的相關內容加入到裡面,達到隨系統自動啟動之目的。
當病毒開始盜號行為前,它會搜索殺毒軟體卡巴斯基的報警提示視窗和對話方塊視窗,如發現卡巴試圖向使用者報告系統裡的可疑行為,就立刻將以上視窗關閉,這樣使用者就無法知道自己電腦中正在發生的安全問題。
解決掉卡巴的“多管閒事”後,病毒就可以順利地注入到系統桌面進程explorer.exe中,並展開全域搜索和監視,如果發現網路遊戲《問道》的進程,便立即通過讀取遊戲記憶體的方式盜取其帳號密碼等資訊,並將其發送到木馬種植者指定的位址,給用戶造成虛擬財產的損失。
http://tech.rednet.cn/c/2007/12/24/1402789.htm
預警:機器狗穿透還原軟體下載大量木馬
“機器狗變種11636”(Win32.Troj.Agent.dz.11636),這是一個可以穿透還原軟體的病毒。病毒通過直接讀寫檔簇來繞過一些檔過濾系統的監視,病毒會釋放一個驅動來實現還原軟體的穿透,並修改系統檔USERINIT.EXE,中毒後每次開機就會下載大量木馬到本地運行。
“破天木馬151552”(Win32.PSWTroj.OnlineGames.qi.151552),該病毒是網路遊戲《破天一劍》的盜號木馬。病毒運行後會衍生病毒檔至系統目錄下,並注入系統進程,伺機盜取使用者的帳號和密碼等資訊,並通過網頁提交的方式發送到木馬種植者手上。
一、“機器狗變種11636”(Win32.Troj.Agent.dz.11636)威脅級別:★★
病毒進入系統後,會釋放病毒檔pcihdd.sys到%WINDOWS%\system32\drivers\目錄下,並立刻運行起來。它首先判斷使用者系統是否正接受著冰點還原軟體和硬碟保護卡的保護,如果有,它便解除冰點還原軟體和和硬碟保護卡對系統的保護。
然後,病毒展開搜索,看看使用者的windows作業系統中是否存在MS06-014和MS07-017等多個漏洞,同時也查看其它應用軟體是否存在安全性漏洞,如有,它接下來會查看目前的網路連結是否通暢。
只要確定網路連結暢通,病毒就在使用者無法知曉的情況下建立遠端連接,從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等木馬種植者指定的網址下載大量盜號木馬,盜取《傳奇》、《魔獸世界》、《征途》、《奇跡》等多款網路遊戲的帳號和密碼,嚴重威脅遊戲玩家虛擬財產的安全。由於冰點還原軟體和硬碟保護卡大多在網吧使用,因此網吧成為該病毒發作的重災區。
需要注意的是,此病毒運行完成後會刪除自身,銷毀曾進入過電腦系統的證據,使使用者無法理解自己是怎麼中的毒。
二、“破天木馬151552”(Win32.PSWTroj.OnlineGames.qi.151552)威脅級別:★
病毒進入使用者的電腦系統後,會在系統磁片中釋放出兩個病毒檔,分別為系統根目錄的%WINDOWS%下的MsPrint32D.exe,以及%WINDOWS%\system32\目錄下的MsPrint32D.dll。並修改登錄開機項,將自己的相關資訊加入其中,以達到隨系統自動啟動之目的。完成這個過程後,病毒就會自動刪除原文件,避免被用戶發現。
當病毒開始運行,它會注入到系統的桌面進程Explorer.exe,以及其它非系統進程當中,不斷搜索網路遊戲《破天一劍》的進程,一旦發現,就立即建立消息監視,從使用者與遊戲伺服器之間的通信中篩選使用者的帳號和密碼等資訊。
如果得手,就在後臺建立遠端連接,以網頁提交的方式把贓物發送到http://den*******.skpay.net.cn/hu111/post.asp這一由木馬種植者安排好的網址當中,給用戶造成虛擬財產的損失。
資訊安全 (4)
