“魔兽老千盗号器98816”(Win32.Troj.OnLineGames.ad.98816),这是一个网游盗号木马。它在进入用户系统后,就释放出自己的子文件,搜索并盗窃《魔兽世界》的帐号和密码。
“黑洞变种492032”(Win32.Hack.Heidong.hk.492032),这是一款黑客程序,主要功能是安装黑洞远程控制服务端,程序运行后释放文件到系统目录,创建自己的远程服务,让黑客可以远程控制客户端电脑。
“魔兽老千盗号器98816”(Win32.Troj.OnLineGames.ad.98816)威胁级别:★
该毒的子文件的命名具有随机性,病毒母体将它释放到%WINDOWS%目录下,以wow[X]_[X].dll,作为其名称,其中X为1000以内的随机数。
它修改注册表,给自己添加一个服务项。服务名为“RemoteTCP/IP”映像路径的指向就是之前释放出的子文件。这样,以后用户每次开机时,它都可以跟着自动运行起来。
wow[X]_[X].dll会搜索《魔兽世界》的游戏进程,一旦发现就注入其中,根据病毒作者的设置,进行键盘记录或读取游戏内存,获得玩家的游戏账号和密码。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-onlinegames-ad-98816-52528.html
二、“黑洞变种492032”(Win32.Hack.Heidong.hk.492032)威胁级别:★★
这款黑客程序出现在反病毒工程师的视野中已有较长时间,它不断有新变种出现。本篇播报中的变种,主要行为和其它黑客程序一样,是建立远程连接,不过它会采用伪装成WINDOWS升级程序的方法来欺骗用户。
它在%WINDOWS%目录下释放出自己的三个子文件,分别为WinLiveUp.dat、WinLiveUp.dll和WinLiveUp.exe,名称看上去都很像WINDOWS系统的升级文件进程。如果是对系统不熟悉的用户,就很容易被欺骗。
当顺利潜伏下来,该毒就修改注册表,实现开机自启动,并于下一次开机后,连接病毒作者指定的远程地址,协助黑客入侵用户电脑。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hack-heidong-hk-492032-52529.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
