“夢幻之盜504320”(Win32.Troj.XYOnline.dy.504320),這是一個針對網絡游戲《夢幻西游》的木馬生成器。盜號者使用這個工具,可以在電腦上生成盜取《夢幻西游》帳號的木馬程序。這種盜號木馬多見於網咖等公共場所。
“縱火狐狸精”(Win32.Magni.a.18944),這是個感染型病毒。它會感染除系統目錄外的exe、com、scr文件,並刪除所有的GHOST系統備份文件。它還會從網上下載更多其它病毒,進一步危害用戶系統,同時生成AUTO病毒,利用U盤傳播自己。
一、“夢幻之盜504320”(Win32.Troj.XYOnline.dy.504320) 威脅級別:★★
該木馬生成器運行後,盜號者只需輸入游戲帳號的回傳地址,然後點擊,就可在該生成器所在的目錄下生成一個名為menghuan.exe的文件,這個文件為針對網絡游戲《夢幻西游》的盜號木馬病毒。隨後,病毒便會自動開始工作。
病毒首先會在中毒電腦的系統盤中釋放出4個病毒文件,分別為%WINDOWS%\Fonts\目錄下的armease.fom和okmhccsb.dll,以及%WINOEWSt%\system32\目錄下的okmhcaz.exe和okmhcy.dll。其中,okmhccsb.dll是一個偽裝過的文本文件,用於記錄病毒與盜號者取得聯系的方式。
接著,病毒修改注冊表,使自己以後都能隨著系統桌面的啟動而啟動,同時破壞WINDOWS系統的自動更新功能。隨後,它將之前生成的Okmhczy.dll病毒文件注入所有的進程中,展開全局監視。如果在系統中發現料《夢幻西游》的進程 my.exe,病毒就立刻注入其中,通過讀取游戲內存的方式獲取用戶的帳號密碼等信息,並回傳到木馬投放者指定的地址\n**g*me.net/*h/post.asp,讓用戶造成虛擬財產的損失。
二、“縱火狐狸精”(Win32.Magni.a.18944) 威脅級別:★★
病毒進入用戶系統後,在系統盤的%Program Files%\Common Files\Microsoft Shared\Speech\目錄下釋放出病毒文件taskmgr.exe和dlg.dll,在%WINDOWS%\system32\spool\目錄下釋放出冒充成殺軟“卡巴斯基”的病毒文件KAV.log。隨後,它修改注冊表,將自己添加到開始菜單啟動項的“Documents and Settings\All Users\「開始」菜單\程序\啟動\protect.exe”路徑下,實現開機自啟動之目的。
病毒會修改注冊表中關於文件顯示屬性的相關數據,使得文件夾選項中的“顯示所有文件和文件夾”一項消失。這樣,如果它以後生成的病毒文件中有具隱藏屬性的,用戶也將無法發現它們。然後,病毒迅速強行關閉用戶系統中的安全軟件,使自己以後都能為所欲為。包括卡巴斯基、瑞星、超級巡警、麥咖啡在內的大部分著名安全軟件都是它的關閉目標。
解決掉安全軟件後,病毒便開始進行感染。它會感染除系統目錄外的exe、com、scr文件,所有被感染文件圖標變為放大鏡。病毒會在文件尾部加上字符串“firefox”作為感染標記,避免自己浪費時間進行二次感染,以提高破壞效率。被感染文件運行後,會將原始文件釋放到當前目錄,並在文件名後加上“#”,且設為隱藏屬性。長此以往,用戶的系統資源就會被占用。
碰到這種情況,一些用戶可能會試圖使用GHOST來進行修復,但很不幸,此病毒作案已經刪除了所有GHOST系統備份文件。最後,病毒悄悄建立遠程連接,從\n**m.i*v.tw/20**lib/eng/Image”這個由木馬種植者指定的地址下載大量病毒文件到用戶電腦上運行,給用戶帶來無法估計的更大破壞。同時,為擴大自己的傳播范圍,病毒還在各盤中生成AUTO病毒folder.exe文件和autorun.inf輔助文件,只要用戶在中毒電腦上使用U盤等移動設備,病毒就會立即將其傳染。
反病毒工程師建議
1.最好安裝專業的殺毒軟件進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡游戲、利用即時通訊聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟件,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
