好学IT学院:IT信息技术分享交流平台
标签:视点  来源:赛迪网  作者:李铁军  发布时间:2008-11-12  ★★★加入收藏〗〖手机版
摘要:【赛迪网-IT技术报道】国庆长假日益临近,按照以往的经验,国庆长假期间,电脑病毒将更加活跃。但电脑病毒其实也并没有那么可怕,只要用户安装了正版杀毒软件,并养成良好的上网习惯,就将远离病毒的烦恼。为了让广大用户能够安心的度过一个长假,金山毒霸反病毒专家李铁军特别…

3、“FTP傀儡34816”(Win32.TrojDownloader.Mnless.34816)威胁级别:★★

这个病毒能够利用捆绑其它文件的方式进行传播。该毒进入电脑后,将自己的文件setupapi.dll释放到IEXPLORER目录下。接着检查自己的dll文件是否被IEXPLORER.EXE、OPERA.EXE、FIREFOX.EXE等浏览器的进程加载,若不是,便退出程序,以载入指定动态链接库的方式加载自己。无论采取哪种加载方式,一旦得以运行。此毒便检查注册表,查看用户是否安装有FlashFXP、VanDykeSecureFX、IpswitchWS_FTP、LeapFTP等工具。如果发现用户有安装以上FTP工具,此毒则调用这些工具去病毒作者指定的远程地址http://66.1*9.2*1.1*8/ftpg/ftp.php下载一份FTP列表,然后根据其中的地址下载更多的其它病毒。关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-trojdownloader-mnless-34816-51776.html

4、“摄影师下载器81071”(Win32.Troj.QQRobber.sd.81071)威胁级别:★

此毒的主文件名称为VM_STI.exe,会被释放到%WINDOWS%\SYSTEM32\目录中。由于其名称与一款摄像头驱动文件一样,一些安装了该驱动的用户就会被蒙蔽。该文件会被写入注册表启动项,随系统自启动,从http://dd6.t***kl.info这个由病毒作者指定的地址下载其它木马文件。安装了摄像头驱动的用户如果发现自己系统中同时有两个VM_STI.exe运行,很有可能就是中了此毒。关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-qqrobber-sd-81071-51775.html

5、剑侠世界飞贼90112”(Win32.Troj.GameT.xf.90112)威胁级别:★

俗话说树大招风,网络游戏如果知名度和玩家数量比较可观,无一例外的会吸引来盗号木马。这次金山毒霸反病毒工程师就发现了一个针对《剑侠世界》的新木马。此毒制作较为精细,病毒作者将病毒字符串分割为若干小段,当需要运行时,才临时组装起来。试图以此来干扰反病毒工作者的分析,以及躲避杀毒软件的检查。病毒运行起来的第一件事是遍历当前所有进程,如发现“360Tray.exe”和“360Safe.exe”,就尝试将其结束。接着,该毒通过特征码和窗口定位《剑侠世界》的游戏进程,注入其中,读取玩家的账号密码人物名称等级等数据,然后解密配置文件,得到收信地址http://a***w110.3322.org,将赃物发送过去。关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-gamet-xf-90112-51768.html

6、“广告男孩249856”(Win32.Adware.Agent.249856)威胁级别:★

该毒属于一个庞大木马家族的成员,拥有大量变种。根据病毒作者的设置,各变种拥有不同的功能。此样本的功能是弹广告和下载。它的行为比较简单,进入用户电脑后就释放自己的文件spoclsv.exe到%WINDOWS%\SYSTEM32\drivers\目录下,然后修改注册表启动项,实现开机自启动。运行起来后就注入IE浏览器进程,发出指令,弹出病毒作者指定的网页。同时,它会从http://www.w**oy.net/update/这个由病毒作者安排好的远程服务器下载一份木马列表,根据其中的地址下载更多其它木马。病毒的中文名称是缘于其下载地址中包含一个英文的BOY单词。关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-adware-agent-249856-51769.html

7、OnlineGames系列盗号木马

这是一类盗号木马系列的统称,这类木马的特点就是通过进程注入盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着AV终结者、机器狗等病毒出现

8、Downloader系列下载者

这类病毒是典型的盗号木马下载者。通过映像挟持,进程操作,窗口监控等方式对抗杀毒软件、会下载安装大量盗号木马到用户电脑。Downloader系列下载者在下载执行完盗号木马后,会自动删除,原程序不会驻留用户计算机。给杀毒软件获取样本分析带来了麻烦。

9、Rootkit系列病毒

这类病毒经常伴随着OnlineGames系列病毒出现。这类病毒使用Rootkit技术来隐藏加载OnlineGames系列病毒。还会通过驱动来恢复SSDTInlineHOOK,使得杀毒软件失去对系统的保护功能。通过rootkit技术盗号木马能够更有效地盗取帐号密码。

10、MSN机器人系列变种

这是一个通过MSN传播的病毒,该病毒有很多变种。该病毒的主要特点是通过MSN发送消息+病毒文件给好友。好友接收运行文件后,就会感染病毒。该病毒会连接IRC聊天室,由IRC聊天室接受黑客指令进行远程控制,使用户文件、资料、信息等面临被盗;并且用户主机可能成为“肉鸡”。

(责任编辑:李磊)