“AV变种14348”(Win32.Troj.KillAVT.ea.14348),这是AV终结者的一个变种。它能下载大量的木马文件到用户系统的临时目录下运行,并在这些木马运行结束后将它们的母体删除。由于病毒作者的设置错误,该毒不具备对抗安全软件的能力。
“QQ暴力伪装盗号器38498”(Win32.Troj.PSWQQ.jh.38498),该毒为一个针对QQ即时聊天工具的盗号木马。它具有对抗能力,会删除一些安全软件的文件,并将自己的文件伪装为系统进程。
一、“AV变种14348”(Win32.Troj.KillAVT.ea.14348)威胁级别:★
毒霸反病毒工程师对此毒分析后发现,它含有AV终结者的大量代码。进入电脑后,就会连接病毒作者指定的远程地址,下载数量庞大的木马到电脑中运行,这些木马多为盗号程序,对用户的游戏、网银帐号具有严重威胁。
被下载的病毒都隐藏在%WINDOWS%\TEMP\目录下,每下载成功一个就运行一个,并于运行结束后删除它们的原始文件,躲避用户的检查。
由于下载和运行量特别大,系统资源会被逐渐占用,用户可感觉到电脑运行速度变慢。如果是配置较低的电脑,有可能出现死机现象。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-killavt-ea-14348-52794.html
二、“QQ暴力伪装盗号器38498”(Win32.Troj.PSWQQ.jh.38498)威胁级别:★
病毒释放出的文件比较多,其中有一个conime.exe文件会被释放到%WINDOWS%\SYSTEM32\drivers\目录下。这个文件与系统输入法相关进程的名称一样,对系统不熟悉的用户很容易被其骗过。
病毒在进入系统后,会搜索卡卡安全助手的相关文件kakatool.dll,如果发现,就尝试将其删除。同时它还会删除系统的HOST表,以突破用户设置的网络封锁,访问病毒作者指定的地址,收发指令。
一切准备就绪后,病毒就监视用户的QQ进程,利用键盘记录和内存读取的方法获得QQ号和密码,发送到病毒作者安排好的地址。然后等待新的指令,根据病毒作者的新指令,该毒可以随时变成一个远程后门程序,为黑客入侵系统提供帮助。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-pswqq-jh-38498-52793.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。