◆“地穴”变种iz:它是“地穴”木马家族的最新成员之一 , 采用高级语言编写 , 并经过添加保护壳处理 。“地穴”变种iz运行后 , 在被感染计算机系统的“%SystemRoot%system32”目录下释放恶意程序“tavo.exe” 。通过添加启动项 , 实现木马开机自启动 。
在“%SystemRoot%system32”目录下释放木马组件“tavo0.dll” , 并将其插入到所有用户级权限的进程中加载运行 , 隐藏自我 , 防止被查杀 。循环检测窗口标题 , 一旦发现与安全相关的字符串便强行将相应窗口关闭 。在进程列表中查找数十种安全软件以及安全辅助工具 , 一旦发现便强行将其关闭 , 极大地降低了被感染计算机上的安全性 。
在后台秘密窃取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息 , 并在后台将玩家信息发送到骇客指定的远程服务器上 , 致使玩家的游戏帐号、装备物品、金钱等丢失 , 给游戏玩家带来非常大的损失 。
【13-16日病毒预报:近来木马家族又开始横行】◆“摩登王”变种bcg:它是“摩登王”木马家族的最新成员之一 , 采用高级语言编写 , 未经过添加保护壳处理 。“摩登王”变种bcg是由某个木马程序释放出来的DLL木马组件 , 文件名由8位随机字母组成 , 一般被注册为浏览器辅助插件(BHO) , 实现木马开机自动运行 。“摩登王”变种bcg运行于“explorer.exe”进程以及“iexplore.exe”进程内部 , 以此隐藏自身 , 躲避查杀 。
通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等 , 并且可能会卸载某些安全软件 , 极大的降低了被感染计算机系统的安全性 。不定时弹出广告窗口 , 影响用户正常使用计算机 。在后台秘密收集被感染计算机的系统信息并发送到骇客指定的服务器上 。
连接骇客指定站点 , 下载恶意程序并在被感染计算机上自动调用运行 。其中 , 所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等 , 给被感染计算机用户带来不同程度的损失 。另外 , “摩登王”变种bcg最后会自我删除 , 消除痕迹 。
◆“BHO劫持者”变种cic:它是“BHO劫持者”木马家族的最新成员之一 , 采用VC编写 , 并经过添加保护壳处理 。“BHO劫持者”变种cic是由某个木马程序释放出来的组件 , 一般被注册为浏览器辅助插件(BHO) , 实现木马随系统浏览器的启动而加载运行 。
“BHO劫持者”变种cic运行于“explorer.exe”进程以及“iexplore.exe”进程内部 , 隐藏自身 , 躲避安全软件的查杀 。“BHO劫持者”变种cic运行后 , 在后台秘密监视用户的操作 , 当用户使用IE浏览器访问网站时可能会自动弹出网页窗口 , 干扰用户正常使用计算机 。伪装成某安全软件的更新程序 , 显示“升级程序正在下载文件”的虚假窗口(实际上是连接到骇客指定站点 , 下载恶意程序并在被感染计算机上自动调用运行) 。
其中 , 所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等 , 给被感染计算机用户带来不同程度的损失 。另外 , “BHO劫持者”变种cic还能够自升级 。
◆“昊阗chm”:该病毒为间谍类木马 , 病毒运行后查找CabinetWClass类名的窗口 , 找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并且在该窗口捕获消息 , 获取进程句柄修改访问权限 , 如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭 , 遍历进程查找avp.exe , 找到该进程后将系统时间设置为1987年 。
推荐阅读
- 木马 对一款病毒程序的分析
- 防病毒之最安全打开U盘的方法
- 网游盗号病毒又出新变种 窃取黄易群侠传信息
- 代理脚本病毒利用漏洞传播病毒 下载网游木马
- 利用系统漏洞传播脚本病毒 伪颗粒窃取玩家信息
- 利用U盘、移动硬盘传播 小心文件魔头木马病毒
- 谨防窃取网游破天一剑Online玩家信息的木马病毒
- 谨防QQ游贼木马病毒窃取QQ帐号密码信息
- 盗号病毒又出新变种 小心木马病毒
- 索哈纳德蠕虫导致用户计算机早上9点自动运行病毒