|
||||||||
 |
||||||||
 |
|
|
|||||||||||||||||||
|
||||||||||||||||||||
| “征途盗贼10768”(Win32.PSWTroj.Onlinegame.dz.10768),这是一个盗取网络游戏《征途》账号信息的盗取木马。它会在系统文件夹下的 system32 目录释放用于盗号的病毒文件,然后注入 explorer.exe 进程。该病毒会不断重写自身的注册表启动项,避免自己无法顺利运行。 “海量下载器XO号”(Win32.Troj.DownArpT.xo.135168),这是一个下载者。会从网络上下载海量病毒并且会立即执行,严重占用系统资源。执行成功后,病毒源文件会自删除,使用户无法找到病毒源。它下载的病毒有不少是盗号木马,还有个别是能下载ARP病毒的其它下载者。 一、“征途盗贼10768”(Win32.PSWTroj.Onlinegame.dz.10768) 威胁级别:★ 病毒成功潜入电脑系统后,在%windows%system32目录下释放出病毒文件ztfree0.dll,并将此文件相关信息写入系统注册表启动项,达到随系统自动启动之目的。并且,它会不断地重写注册表启动项,防止自身的启动项被删除,确保每次系统重启后,它都能顺利运行。 病毒开始运行后,将ztfree0.dll文件注入 explorer.exe 桌面进程,搜索是否有启动的《征途》进程zhengtu.dat,如有,就立即注入其中,通过读取 zhengtu.dat 进程内存的方式盗取用户的账号、密码等信息。 窃取到账号信息后,病毒就会在用户不知晓的情况下建立远程连接,将它们发送到“http://www.w***8.org/o****d/zt/l**.asp?srv=”这一木马作者指定的地址上,给用户造成虚拟财产的损失。 二、“海量下载器XO号”(Win32.Troj.DownArpT.xo.135168) 威胁级别:★★ 病毒运行后,会在系统盘中生成数量极大的病毒文件群,主要集中在系统盘根目录、%Content.IE5%目录、%windows%目录、%windows%fonts目录、%windows%system32目录下。其中%windows%目录下的upxdnd.exe病毒文件很值得注意,因为它的相关信息会被加入注册表启动项,这使得病毒在每次系统重启时都能随之启动。之后,病毒就会立即自删除源文件,使用户无法找到病毒源。 当完成以上步骤,病毒就开始连接http://www.n***23***1.com/这一远程地址,下载并立即运行大量其它病毒文件,占用大量系统资源,造成系统严重瘫痪。需要提及的是,这些下载的病毒文件,其文件名是由1~20的数字加上EXE后缀构成。 在该病毒下载的“帮凶”中,有不少是盗号木马,会盗取各种网络游戏和即时聊天工具的账号信息。还有个别病毒会下载ARP病毒,当用户中了ARP病毒后,在同一个局域网内的其它计算机都有可能遭受欺骗,造成局域网极其不稳定。 如果使用“金山反间谍”的隐蔽软件扫描功能对系统进行扫描,在得出的信息中可发现该病毒还会破坏userinit.exe系统文件以及已安装的安全软件。一旦病毒破坏了userinit.exe系统文件,用户在重启系统后,就可能无法正常登录系统,甚至一直停留在登录界面。而当安全软件都被破坏后,用户的系统安全性将大大降低,更多的病毒将乘虚而入,给用户造成更大损失。 |
|
Copyright ◎ 2004 - 2008 红客中国安全网版权所有
|