中文名稱:"魔獸賊"變種jg
病毒長度:21056字節(jié)
病毒類型:盜號木馬
危險(xiǎn)級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):5de0fcba568a08f247878c348694f381
特征描述:
Trojan/PSW.WOW.jg"魔獸賊"變種jg是"魔獸賊"盜號木馬家族中的最新成員之一,采用"Microsoft Visual C++"編寫,并且經(jīng)過加殼保護(hù)處理。"魔獸賊"變種jg運(yùn)行后,會在被感染計(jì)算機(jī)系統(tǒng)的指定目錄下釋放惡意DLL組件"WowInitcode.dat",并將該組件的屬性設(shè)置為"系統(tǒng)、隱藏、只讀、存檔",同時(shí)還會將其插入到"explorer.exe"等幾乎所有的進(jìn)程中加載運(yùn)行,以此實(shí)現(xiàn)病毒的隱藏,防止被輕易地查殺。"魔獸賊"變種jg是一個(gè)專門盜取"魔獸世界Online"網(wǎng)絡(luò)游戲會員賬號的木馬程序,會在被感染計(jì)算機(jī)的后臺秘密監(jiān)視用戶系統(tǒng)中所運(yùn)行的所有應(yīng)用程序的窗口標(biāo)題,然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息,并在后臺將竊取到的信息發(fā)送到駭客指定的遠(yuǎn)程站點(diǎn)"http://89008.91***d.com.cn/enlish"、"http://qr-1al.rc***6.cn/1yt62et6"、"http://sd-la2.rc***6.cn/1yt62et6"上(地址加密存放),致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備、物品、金錢等丟失,給游戲玩家?guī)聿煌潭鹊膿p失。同時(shí),"魔獸賊"變種jg還具有竊取玩家游戲賬號密碼保護(hù)的功能,因此當(dāng)游戲玩家發(fā)現(xiàn)自己的游戲賬號被盜時(shí),請千萬不要在當(dāng)前被感染的計(jì)算機(jī)上登陸該網(wǎng)絡(luò)游戲的官方網(wǎng)站去找回游戲密碼,否則會連同玩家的密碼保護(hù)資料一同被駭客所盜取,給用戶造成了更大程度的損失。另外,"魔獸賊"變種jg會通過在系統(tǒng)注冊表啟動項(xiàng)中添加鍵值的方式來實(shí)現(xiàn)開機(jī)自啟。
英文名稱:Packed.PePatch.nf
中文名稱:"尖峰洞"變種nf
病毒長度:592896字節(jié)
病毒類型:木馬
危險(xiǎn)級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn):88c6b31edde462b93e5c62dc15479453
特征描述:
Packed.PePatch.nf"尖峰洞"變種nf是"尖峰洞"木馬家族中的最新成員之一,采用"Microsoft Visual C++ 6.0"編寫,并且經(jīng)過加殼保護(hù)處理。"尖峰洞"變種nf運(yùn)行后,會在被感染計(jì)算機(jī)系統(tǒng)的"%USERPROFILE%Local SettingsTempIXP*.TMP"目錄下釋放灰鴿子遠(yuǎn)程控制木馬并調(diào)用運(yùn)行。被釋放的木馬在運(yùn)行后,會將自我復(fù)制到"%SystemRoot%"目錄下并重新命名為"Hacker.com.cn.exe",同時(shí)修改文件屬性為"系統(tǒng)、隱藏、只讀",以此實(shí)現(xiàn)自我的隱藏。關(guān)閉"Windows安全中心"服務(wù),并將惡意代碼注入到其它進(jìn)程之中隱密運(yùn)行。在被感染計(jì)算機(jī)后臺嘗試與控制端進(jìn)行連接,致使被感染計(jì)算機(jī)淪為駭客的傀儡主機(jī)。駭客通過該木馬可以向被感染計(jì)算機(jī)發(fā)送任意指令、執(zhí)行任意操作,其中包括文件管理、進(jìn)程控制、注冊表操作、遠(yuǎn)程命令執(zhí)行、屏幕監(jiān)控、鍵盤監(jiān)聽、鼠標(biāo)控制、視頻監(jiān)控等,導(dǎo)致計(jì)算機(jī)用戶的個(gè)人隱私甚至是商業(yè)機(jī)密等面臨不同程度的威脅。同時(shí),駭客還可以向被感染計(jì)算機(jī)傳送大量的惡意程序,從而給用戶造成更多不同程度的損失。另外,該遠(yuǎn)程控制木馬通過將自身注冊為系統(tǒng)服務(wù)的方式實(shí)現(xiàn)開機(jī)后的自動運(yùn)行。
針對以上病毒,江民反病毒中心建議廣大電腦用戶:
1、請立即升級江民殺毒軟件,開啟新一代智能分級高速殺毒引擎及各項(xiàng)監(jiān)控,防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計(jì)算機(jī)。
2、江民KV網(wǎng)絡(luò)版的用戶請及時(shí)升級控制中心,并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒,保證企業(yè)信息安全。
3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù),能夠?qū)Ω鞣N主流殼以及疑難的"花指令殼"、"生僻殼"病毒進(jìn)行脫殼掃描,有效清除"殼病毒"。
4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能,該功能可對病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動干預(yù)、處理,有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞,更大程度的提高了計(jì)算機(jī)對于未知病毒的防范能力。
5、江民殺毒軟件擁有強(qiáng)大的自防御體系,能有效阻止"驅(qū)動級病毒"關(guān)閉和破壞殺毒軟件,確保殺毒軟件所有功能的完全發(fā)揮,為保障系統(tǒng)和數(shù)據(jù)安全打下了堅(jiān)實(shí)的基礎(chǔ)。
6、江民防馬墻,能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁,可以自動搜集惡意網(wǎng)址并加入特征庫,阻止了網(wǎng)頁木馬的傳播,有效地保障了用戶的上網(wǎng)安全。
7、全面開啟BOOTSCAN功能,在系統(tǒng)啟動前殺毒,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。
8、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證。免費(fèi)在線查毒地址:http://pay.jiangmin.com/online/jiangmin/kvkillonline.aspx
有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢,或訪問江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。