“AUTO网页弹射器”(Win32.Troj.MnLess.65536) 威胁级别:★
病毒进入电脑系统后,会释放出两个病毒文件,分别为%Program Files%\Uninstall Information\目录下的ichdf.exe,以及%windows%\inf\目录下的svchost.exe。然后,病毒修改注册表,将这两个文件的相关信息写入注册表的启动项。这样,以后病毒就可以随着系统的启动而自动运行起来。
与此同时,病毒在全部的磁盘分区中生成AUTO病毒文件,只要用户试图双击打开染毒的磁盘,病毒就会被再次激活。在此之后,只要用户在这台电脑上使用U盘等移动存储器,病毒就会将其感染,借机扩大自己的地盘。
Ichdf.exe和svchost.exe这两个病毒文件运行起来后,立刻查找并关闭金山、卡巴斯基、360、瑞星等厂家的安全软件。并且,它们还会互相守护,如果一个进程被用户或安全软件结束掉了,另一个会马上再次修改注册表“复活”它,这样一来,就加大了对病毒进行查杀的难度。
最后,病毒修改用户IE浏览器的设置,当用户在浏览器的地址栏中输入网址时,病毒就会立即弹出一些木马种植者指定的网页,迫使用户点击。
“网游窃贼131072”(Win32.Troj.OnlineGames.vx.131072) 威胁级别:★
病毒顺利进入用户的电脑系统后,会在系统盘的%windows%目录下释放出cmdbcs.exe病毒文件,在%windows%\system32\目录下释放出cmdbcs.dll病毒文件,之后就删除掉自己的原文件,让用户不易发现它进入电脑时留下的痕迹。病毒还修改注册表启动项,把自己的信息加入其中,达到以后都可以随系统自动启动之目的。
病毒运行起来后,就注入系统进程,开始查找网络游戏《完美世界》的游戏窗口“ElementClient Window”、“ZElementClient Window”,以及《浩方游戏平台》的进程“gameclient.exe”、《剑侠情缘2》的进程“SO2Game.exe”、《热血江湖》的进程“client.exe”。如果发现,就通过读写内存的方式盗取它们的用户帐号、密码,以及所在服务器等信息。
如果得手,就会在用户无法知晓的情况下建立远程连接,把偷来的资料都发送到http://j*1.so****jj.com/c**h/lin.asp?s=%这个由木马种植者指定的邮箱,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
