一、“伪装下载器106496”(Win32.Troj.DownLoader.wd.106496) 威胁级别:★
病毒进入用户系统后,在%WINDOWS%\sysmte32\目录下释放出一个冒充系统文件的隐藏病毒文件winscksow.dll,然后立即开始查找系统中是否有杀毒软件“卡巴斯基”的进程avp.exe,如果发现,它就修改系统时间为2000年,令依赖系统时间进行激活和升级的卡巴失效。
接着,病毒创建线程,不断重写注册表启动项重的相关数据,让自己以后都能随系统启动而运行起来。同时它查找系统桌面进程 explorer.exe ,把之前生成的winscksow.dll注入其中利用它的空间来运行自己,从而减少自己被用户发现的机会。
病毒运行起来后,会首先查找并强行关闭毒霸、瑞星、麦咖啡、360安全卫士、风云防火墙等安全软件的进程,如果能够顺利解决掉安全软件,病毒便在后台悄悄建立远程连接,从木马种植者指定的地址http:/ /m**p.lo**m*ll.cn/vm下载6个恶意程序文件,并将它们以0winecest.exe、1winecest.exe……5winecest.exe这样的文件名存放到%WINDOWS%目录下。由于这些恶意程序的功能多样,因此用户的系统安全将遭受无法估计的众多威胁。
二、“网游盗号木马17109”(Win32.Troj.OnlineGames.il.17109) 威胁级别:★
病毒进入电脑系统后,会释放出两个病毒文件,分别是%WINDOWS%目录下的SHAProc.exe和%WINDOWS%\system32\目录下的SHAProc.dll。
接着,病毒迅速创建线程,搜索杀毒软件“卡巴斯基”和“瑞星”的进程,发现后就紧紧盯住它们的提示窗口。如发现它们试图弹出窗口,向用户报告系统中的异常,就抢先将其关闭,使用户无法知道自己电脑中正在发生的情况。
与此同时,病毒修改系统注册表,将自己的相关数据写入启动项,实现开机自启动之目的,接着,就不断查找网络游戏《破天一剑》、《风火之旅》、《剑侠情缘2》、《征服》和“浩方”网络对战平台的进程。如发现,便注入其中窃取用户的帐号信息,并悄悄建立远程连接,把偷得的信息按游戏名称发送到木马种植者安排好的不同地址。给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
