wyd168 2008-1-15 23:24
毒霸1月15日预警:纵火狐狸精强关安全软件
[size=4][color=red][url=http://wydxhy.5d6d.com/redirect.php?tid=312]毒霸1月15日预警:纵火狐狸精强关安全软件[/url][/color][/size]
2008-1-15 2:51:00 文/金山毒霸官网 出处:金山毒霸官网
[img]http://www.it.com.cn/0.gif[/img] “梦幻之盗504320”(Win32.Troj.XYOnline.dy.504320),这是一个针对网络[url=http://www.it.com.cn/games/][color=#0000ff]游戏[/color][/url]《[url=http://www.it.com.cn/games/info/1/1/8/3.htm][color=#0000ff]梦幻西游[/color][/url]》的木马生成器。盗号者使用这个工具,可以在电脑上生成盗取《梦幻西游》帐号的木马程序。这种盗号木马多见于网吧等公共场所。
“纵火狐狸精”(Win32.Magni.a.18944),这是个感染型病毒。它会感染除系统目录外的exe、com、scr文件,并删除所有的GHOST系统备份文件。它还会从网上下载更多其它病毒,进一步危害用户系统,同时生成AUTO病毒,利用U盘传播自己。
一、“梦幻之盗504320”(Win32.Troj.XYOnline.dy.504320) 威胁级别:★★
该木马生成器运行后,盗号者只需输入游戏帐号的回传地址,然后点击,就可在该生成器所在的目录下生成一个名为menghuan.exe的文件,这个文件为针对[url=http://www.it.com.cn/games/net/][color=#0000ff]网络游戏[/color][/url]《梦幻西游》的盗号木马病毒。随后,病毒便会自动开始工作。
病毒首先会在中毒电脑的系统盘中释放出4个病毒文件,分别为%WINDOWS%\Fonts\目录下的armease.fom和okmhccsb.dll,以及%WINOEWSt%\[url=http://prod.it.com.cn/product/3/28/1597.htm][color=#0000ff]system3[/color][/url]2\目录下的okmhcaz.exe和okmhcy.dll。其中,okmhccsb.dll是一个伪装过的文本文件,用于记录病毒与盗号者取得联系的方式。
接着,病毒修改注册表,使自己以后都能随着系统桌面的启动而启动,同时破坏WINDOWS系统的自动更新功能。随后,它将之前生成的Okmhczy.dll病毒文件注入所有的进程中,展开全局监视。如果在系统中发现料《梦幻西游》的进程 my.exe,病毒就立刻注入其中,通过读取游戏内存的方式获取用户的帐号密码等信息,并回传到木马投放者指定的地址[url=http://www.5**g*me.net/*h/post.asp][color=#0000ff]http://www.5**g*me.net/*h/post.asp[/color][/url],给用户造成虚拟财产的损失。
二、“纵火狐狸精”(Win32.Magni.a.18944) 威胁级别:★★
病毒进入用户系统后,在系统盘的%Program Files%\Common Files\Microsoft Shared\Speech\目录下释放出病毒文件taskmgr.exe和dlg.dll,在%WINDOWS%\system32\spool\目录下释放出冒充成杀软“[url=http://prod.it.com.cn/product/9/49/806.htm][color=#0000ff]卡巴斯基[/color][/url]”的病毒文件KAV.log。随后,它修改注册表,将自己添加到开始菜单启动项的“Documents and Settings\All Users\「开始」菜单\程序\启动\protect.exe”路径下,实现开机自启动之目的。
病毒会修改注册表中关于文件显示属性的相关数据,使得文件夹选项中的“显示所有文件和文件夹”一项[url=http://www.it.com.cn/f/hotweb/0510/21/188988.htm][color=#0000ff]消失[/color][/url]。这样,如果它以后生成的病毒文件中有具隐藏属性的,用户也将无法发现它们。然后,病毒迅速强行关闭用户系统中的安全软件,使自己以后都能为所欲为。包括卡巴斯基、瑞星、超级巡警、麦咖啡在内的大部分著名安全软件都是它的关闭目标。
解决掉安全软件后,病毒便开始进行感染。它会感染除系统目录外的exe、com、scr文件,所有被感染文件图标变为放大镜。病毒会在文件尾部加上字符串“firefox”作为感染标记,避免自己浪费时间进行二次感染,以提高破坏效率。被感染文件运行后,会将原始文件释放到当前目录,并在文件名后加上“#”,且设为隐藏属性。长此以往,用户的系统资源就会被占用。
碰到这种情况,一些用户可能会试图使用GHOST来进行修复,但很不幸,此病毒作案已经删除了所有GHOST系统备份文件。最后,病毒悄悄建立远程连接,从“[url=http://www.4/][color=#0000ff]http://www.4[/color][/url]**m.i*v.tw/20**lib/eng/Image”这个由木马种植者指定的地址下载大量病毒文件到用户电脑上运行,给用户带来无法估计的更大破坏。同时,为扩大自己的传播范围,病毒还在各盘中生成AUTO病毒folder.exe文件和autorun.inf辅助文件,只要用户在中毒电脑上使用U盘等移动设备,病毒就会立即将其传染。
搜索更多相关主题的帖子: [url=http://wydxhy.5d6d.com/tag-%D7%DD%BB%F0.html][color=#0000ff]纵火[/color][/url] [url=http://wydxhy.5d6d.com/tag-%B6%BE%B0%D4.html][color=#0000ff]毒霸[/color][/url] [url=http://wydxhy.5d6d.com/tag-%B9%D8%B0%B2%C8%AB.html][color=#0000ff]关安全[/color][/url] [url=http://wydxhy.5d6d.com/tag-%BA%FC%C0%EA%BE%AB.html][color=#0000ff]狐狸精[/color][/url] [url=http://wydxhy.5d6d.com/tag-%CD%F8%C2%E7.html][color=#0000ff]网络[/color][/url]