12月16日:“感染虫下载器102400”(Worm.VcingT.o.102400),这是一个感染型病毒。该病毒运行后,会感染几乎所有的exe文件,并在各盘产生AUTO病毒。它还会连接网络,下载更多的病毒,给用户系统安全造成更大影响。
“网游大盗19046”(Win32.Troj.OnlineGames.in.19046),这是一个网游盗号木马,会关闭部分安全软件的提示通知或者报警窗口。其释放的文件会注入《魔域》《破天一剑》、《浩方》、《惊天动地》以及《巨人》的游戏主程序,通过读取游戏内存的方式盗取用户的帐号信息,并上传到盗号者指定的网址。
一、“感染虫下载器102400”(Worm.VcingT.o.102400) 威胁级别:★★
病毒进入系统后,在系统盘的%windows%\system32\Com\目录中释放出四个病毒文件,分别是lsass.exe、smss.exe、netcfg.dll和netcfg.000。同时,它在全部的磁盘根目录下都生成AUTO病毒文件,如果用户试图双击进入含毒磁盘或在中毒电脑上使用U盘等移动存储器,病毒就会立刻再次激活,并将U盘感染。因此,用户最好养成禁止移动存储器自动运行的电脑使用习惯。
当病毒运行起来后,它就会遍历电脑系统中的exe文件,将它们感染,用户如果检查文件属性,会发现被病毒“附身”的exe文件,占用空间都比以前有所增大。而且,只要运行这些被感染的文件,病毒就会再次随之运行。
在进行感染的同时,病毒悄悄连接http://w.XXX.com/r.htm这个由病毒作者指定的地址,获取一个病毒文件列表,然后根据此列表去下载更多的其它病毒。在那张列表中,含有大量盗号木马、ARP欺骗病毒等,如果它们被顺利下载到用户的电脑系统中,将造成更大的破坏。不过,如果用户安装得有防火墙且开启防御,就能可拦截到此操作。
二、“网游大盗19046”(Win32.Troj.OnlineGames.in.19046) 威胁级别:★
病毒顺利进入电脑系统后,将病毒文件GenProtect.exE释放到到系统盘的%windowst%目录下,然后就删除自己的原文件,这个动作是为了销毁自己进来时的脚印,避免被用户发现。
接着,病毒修改注册表,把自己的相关信息加入其中,使自己以后都能在用户启动系统时跟着跑起来。然后,它迅速查找卡巴斯基的报警和通知窗口,以及瑞星的注册表监控提示窗口 ,如果发现卡巴和瑞星试图向用户报告电脑受到入侵,就会立即把这些窗口都关闭。
当把安全软件的嘴封住后,病毒就注入eXPlorer.exe桌面进程,查找《魔域》、《破天一剑》、《浩方》、《惊天动地》以及《巨人》等游戏的主程序,发现后就注入其中,利用内存读取的方式获得用户的帐号和密码,并将它们发送到木马种植者安排好地址http://www.n**dvd.com/gana/lin.ASP和http://www.n**dvd.com/y****a*g/lin.asp中,给用户造成虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
