频道栏目
首页 > 资讯 > 安全资讯 > 正文

木马伪装金山网镖 毒霸用户警惕上当

2007-11-04 03:22:01           
收藏   我要投稿

瑞星和江民的病毒警报都发了,现在是金山毒霸了:

"灰鸽子变种333312"(Win32.Hack.Huigezi.333312)这是一个灰鸽子的变种。病毒运行后衍生病毒文件到系统目录下,修改注册表,创建服务,并以服务的方式达到随机启动的目的;病毒运行后开启后门,让黑客可远程控制用户机器。
  "网镖伪装盗号者"(Win32.PSWTroj.WoW.dg.73728)这是一个木马程序.运行后该木马会把自身复制到C盘根目录并会伪装成标题名为金山网镖的窗口,并会对运行着的进程遍历查找,判断是否存在WoW.exe(魔兽世界)进程,获取WoW.exe进程的窗口文本信息,将获取到的信息发送到指定的邮箱,和网页.

  一、"灰鸽子变种333312"(Win32.Hack.Huigezi.333312) 威胁级别:★

  这是一个典型的灰鸽子后门程序。该病毒运行后,会在%windows%下产生黑客远程控制的客户端lsuss.exe病毒文件。并且同时,会在注册表中添加服务"Network Connections Manage",添加该服务的主要作用是管理“网络和拨号连接”文件夹,可以查看局域网和远程连接。病毒还会创建一个隐藏的IEXPLORE.EXE进程,病毒文件lsuss.exe会注入到该进程,由于该进程隐藏的,一般无法轻易查找出,所以黑客可以通过此方式,悄悄的获取用户机器上的信息和进行非法操作,给用户的系统安全带来极大的危害。

  二、"网镖伪装盗号者"(Win32.PSWTroj.WoW.dg.73728) 威胁级别:★

  该病毒运行成功后,会在桌面弹出一个伪装成“金山网镖”的窗口,由于没有通过任何的技术手段来维持此窗口,所以轻易就能被关闭。此时,用户的各盘里已经生成了AUTO病毒,包括explorer.exe病毒文件和autorun.inf辅助文件。当用户鼠标左键双击进入有AUTO病毒的时候,将会触发AUTO病毒。病毒还会自动添加到启动项里,对应的病毒路径是:%windows%system32explorer.exe,当用户重启系统时,病毒会随着系统的启动而运行。病毒还会遍历进程,假如搜寻到有WOW.EXE(魔兽世界)进程时,则进行盗号操作。将成功盗取的帐号信息回传到指定的网页和邮箱,详细信息为

  www.oo***ans.com

  77***707@163.com

  77***991@163.com

  该病毒会造成用户的网络虚拟财产遭到重大损失。

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。

  2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

上一篇:上半年因特网安全调查 Vista漏洞最少
下一篇:美国组建专家组为总统提出网络安全建议
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站