金山毒霸提醒您今日注意防范以下病毒:
“木马攻击模块4608”(Win32.Troj.AgentT.ff.4608),这是某木马的组成模块,用于对抗具有主动防御功能的杀毒软件和一些安全工具。它能通过还原SSDT表的方式,使得一些杀软的主动防御功能失效,并解除部分安全工具对系统的保护,为整个木马的下一步作案扫清障碍。
“完美盗号者57344”(Win32.Troj.OnlineGameT.pq.57344),这是个针对《完美世界》的盗号木马。它能够破坏部分安全软件的正常运行,然后盗取游戏帐号和密码,并发送到病毒作者指定的远程地址。
一、“木马攻击模块4608”(Win32.Troj.AgentT.ff.4608) 威胁级别:★★
日渐流行的对抗型下载器,如机器狗、磁碟机等,都具有一个专门用于对抗安全软件的模块。本篇预警播报中的病毒,正是一个这种功能的木马模块。
这个模块是一个驱动文件。当它随着整个木马进入用户电脑后,就会被释放出来。它把自己的一个函数注册为系统运行时需要调用的函数,还原系统SSDT表,如果这个动作成功,就可以解除一些具有所谓主动防御功能的杀毒软件的武装。
接着,它继续修改系统中的数据,将磁盘驱动、桌面驱动等驱动文件,以及系统调度服务的部分函数破坏,令用户无法正常操作系统。
如果在用户电脑中发现加密狗等加密软件,此木马模块也会修改它们的部分数据,将它们的函数指向自己,从而使加密软件失效。
当病毒作者将这一木马模块配置到任何一个别的木马上时,那些木马也就具备了对抗安全软件的能力。毒霸反病毒工程师认为,这种情况代表着病毒制造者的分工继续细化了。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agentt-ff-4608-50731.html
二、“完美盗号者57344”(Win32.Troj.OnlineGameT.pq.57344) 威胁级别:★
病毒进入电脑后,在系统盘的%WINDOWS%\system32\目录下释放出病毒文件MMSADZFB1064.exe、MMSADZFB1064.dll,其中前者是病毒主文件,会被写入注册表启动项,令病毒实现开机自启动,而后者用于注入进程盗取帐号。
该病毒具有一定程度的对抗能力,可以破坏一些安全软件的正常运行。它在系统盘%WINDOWS%\system32\drivers\文件夹中生成驱动文件Hdv32.sys和Hdv32_.sys,利用它们替换SSDT表的系统服务函数地址,让具有主动防御功能的杀毒软件失效。
随后,病毒直接枚举进程,强行关闭360安全卫士、瑞星等安全软件的进程。同时它会把《完美世界》的进程也关闭。
当用户重新登录游戏时,病毒就利用之前释放出的dll文件记录下用户输入的帐号和密码,并发送至指定的接收网址。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegamet-pq-57344-50732.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年6月28的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
