中文名稱:"靈魂殺手"變種d
病毒長度:24576字節(jié)
病毒類型:木馬
危害等級:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Soulwork.d"靈魂殺手"變種d是"靈魂殺手"木馬家族中的最新成員之一�����,采用"Microsoft Visual C++ 6.0"編寫����,并且經(jīng)過加殼保護處理�����。該病毒是由其它惡意程序釋放出來的DLL功能組件�����,一般會被注入到系統(tǒng)桌面程序"explorer.exe"等幾乎所有用戶級權(quán)限的進程中加載運行����,并在被感染計算機系統(tǒng)的后臺執(zhí)行惡意操作,隱藏自我��,防止被用戶發(fā)現(xiàn)�����、被安全軟件查殺����。"靈魂殺手"變種d是一個專門盜取"魔域Online"網(wǎng)絡(luò)游戲會員賬號的木馬程序,會在被感染計算機的后臺秘密監(jiān)視用戶系統(tǒng)中所運行著的所有應(yīng)用程序窗口標題���,然后利用鍵盤鉤子��、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號���、游戲密碼、所在區(qū)服�����、角色等級、金錢數(shù)量��、倉庫密碼等信息��,并在后臺將竊取到的玩家機密信息發(fā)送到駭客指定的遠程服務(wù)器站點上(地址加密存放)�,致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備�、物品、金錢等丟失�,給游戲玩家?guī)聿煌潭鹊膿p失。另外�,"靈魂殺手"變種d會通過修改注冊表的方式來實現(xiàn)木馬開機自啟動。
英文名稱:TrojanDownloader.Agent.apgq
中文名稱:"代理木馬"變種apgq
病毒長度:36352字節(jié)
病毒類型:木馬下載器
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Agent.apgq"代理木馬"變種apgq是"代理木馬"木馬家族中的最新成員之一�,采用"Borland Delphi 6.0 – 7.0"編寫,并且經(jīng)過加殼保護處理���。"代理木馬"變種apgq運行后���,自我復(fù)制到被感染計算機系統(tǒng)的"%SystemRoot%system32"目錄下,并重新命名為"vmdetdhc.exe"(文件屬性設(shè)置為:系統(tǒng)��、隱藏����、存檔)��。修改注冊表���,實現(xiàn)木馬開機自動運行�。替換被感染計算機系統(tǒng)中的"%SystemRoot%system32driversBeep.sys"驅(qū)動文件,替換后的惡意驅(qū)動文件大小為3872字節(jié)����。利用內(nèi)核級還原"SSDT HOOK"技術(shù)恢復(fù)被感染計算機系統(tǒng)中的SSDT表(System Service Descriptor Table,系統(tǒng)服務(wù)描述表)���,致使大部分安全軟件和殺毒軟件的監(jiān)控與主動防御功能失效���,從而試圖結(jié)束這些安全軟件和殺毒軟件的進程,達到自我保護的目的�。以掛起的方式在被感染計算機的后臺調(diào)用系統(tǒng)"svchost.exe"進程,并向其進程內(nèi)存空間中注入惡意可執(zhí)行代碼�����,然后調(diào)用運行�,執(zhí)行訪問網(wǎng)絡(luò)等惡意操作��。利用病毒調(diào)用的系統(tǒng)"svchost.exe"進程再次以掛起方式在后臺調(diào)用系統(tǒng)IE瀏覽器進程"IEXPLORE.EXE"����,并向其進程內(nèi)存空間中注入惡意可執(zhí)行代碼�,然后調(diào)用運行。如果被感染計算機上已安裝了防火墻并啟用����,就可以利用用戶設(shè)置的白名單機制來繞過防火墻的監(jiān)控,從而達到隱蔽通信的目的�����。在被感染的計算機上查找指定的窗口名�����,一旦發(fā)現(xiàn)便通過發(fā)送"允許"和"關(guān)閉"消息來嘗試躲避某安全軟件的攔截��。在后臺連接駭客指定站點�,在被感染計算機上安裝惡意程序、下載安裝著名下載軟件"迷你**"商業(yè)版�����、在后臺定時訪問指定的惡意廣告站點,提高這些惡意網(wǎng)站的訪問量(網(wǎng)絡(luò)排名)����,不僅給駭客帶來經(jīng)濟利益,而且還會嚴重影響和干擾用戶對計算機的正常操作��。另外���,"代理木馬"變種apgq還會自升級���。
針對以上病毒�����,江民反病毒中心建議廣大電腦用戶:
1�����、請立即升級江民殺毒軟件����,開啟新一代智能分級高速殺毒引擎及各項監(jiān)控,防止目前盛行的病毒�����、木馬、有害程序或代碼等攻擊用戶計算機��。
2���、江民KV網(wǎng)絡(luò)版的用戶請及時升級控制中心���,并建議相關(guān)管理人員在適當時候進行全網(wǎng)查殺病毒,保證企業(yè)信息安全����。
3、全面開啟BOOTSCAN功能�����,在系統(tǒng)啟動前殺毒�,清除具有自我保護和反攻殺毒軟件的惡性病毒。
4�、江民殺毒軟件采用窗口保護以及進程保護技術(shù),避免病毒關(guān)閉殺毒軟件進程�,確保殺毒軟件自身的正常運行,更好地保護用戶計算機的安全。
5���、開啟江民殺毒軟件"安全助手/流氓軟件清除"功能��,該功能可完全����、干凈地卸載有害代碼���,徹底告別有害代碼的騷擾��。
6�、江民防馬墻在系統(tǒng)自動搜集分析帶毒網(wǎng)頁的基礎(chǔ)上��,通過黑白名單��,阻止用戶訪問帶有木馬和惡意腳本的惡意網(wǎng)頁并進行處理����,有效保障用戶上網(wǎng)安全����。
7、將應(yīng)用軟件升級到最新版本,其中包括各種IM即時通訊工具�����、下載工具����、播放器軟件、搜索工具條等����;更不要登錄來歷不明的網(wǎng)站,避免病毒利用其他應(yīng)用軟件漏洞進行木馬病毒傳播��。
8���、懷疑已中毒的用戶可使用江民免費在線查毒進行病毒查證���。免費在線查毒地址:http://online.jiangmin.com/chadu.asp
有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進行咨詢,或訪問江民網(wǎng)站http://www.jiangmin.com進行在線查閱����。
