"灰鸽子变种333312"(Win32.Hack.Huigezi.333312)这是一个灰鸽子的变种。病毒运行后衍生病毒文件到系统目录下,修改注册表,创建服务,并以服务的方式达到随机启动的目的;病毒运行后开启后门,让黑客可远程控制用户机器。
"网镖伪装盗号者"(Win32.PSWTroj.WoW.dg.73728)这是一个木马程序.运行后该木马会把自身复制到C盘根目录并会伪装成标题名为金山网镖的窗口,并会对运行着的进程遍历查找,判断是否存在WoW.exe(魔兽世界)进程,获取WoW.exe进程的窗口文本信息,将获取到的信息发送到指定的邮箱,和网页.
一、"灰鸽子变种333312"(Win32.Hack.Huigezi.333312) 威胁级别:★
这是一个典型的灰鸽子后门程序。该病毒运行后,会在%windows%下产生黑客远程控制的客户端lsuss.exe病毒文件。并且同时,会在注册表中添加服务"Network Connections Manage",添加该服务的主要作用是管理“网络和拨号连接”文件夹,可以查看局域网和远程连接。病毒还会创建一个隐藏的IEXPLORE.EXE进程,病毒文件lsuss.exe会注入到该进程,由于该进程隐藏的,一般无法轻易查找出,所以黑客可以通过此方式,悄悄的获取用户机器上的信息和进行非法操作,给用户的系统安全带来极大的危害。
二、"网镖伪装盗号者"(Win32.PSWTroj.WoW.dg.73728) 威胁级别:★
该病毒运行成功后,会在桌面弹出一个伪装成“金山网镖”的窗口,由于没有通过任何的技术手段来维持此窗口,所以轻易就能被关闭。此时,用户的各盘里已经生成了AUTO病毒,包括explorer.exe病毒文件和autorun.inf辅助文件。当用户鼠标左键双击进入有AUTO病毒的时候,将会触发AUTO病毒。病毒还会自动添加到启动项里,对应的病毒路径是:%windows%\system32\explorer.exe,当用户重启系统时,病毒会随着系统的启动而运行。病毒还会遍历进程,假如搜寻到有WOW.EXE(魔兽世界)进程时,则进行盗号操作。将成功盗取的帐号信息回传到指定的网页和邮箱,详细信息为
www.oo***ans.com
77***707@163.com
77***991@163.com
该病毒会造成用户的网络虚拟财产遭到重大损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
