【賽迪網-IT技術報道】“減速下載器29760”(Win32.TrojDownloader.Firu.jz.29760),這是一個木馬下載器。它會不斷下載木馬到電腦中運行,造成系統資源減少,影響電腦運行速度。
“問道盜號者61440”(Win32.Troj.GameOnlineT.xx.61440),這是一個針對網路遊戲《問道》的盜號器。它為干擾殺毒軟體的查殺,設置了許多加密。
一、“減速下載器29760”(Win32.TrojDownloader.Firu.jz.29760) 威脅級別:★
此下載器進入系統後,會判斷自己的文件是否完整,如果完整,就讀取其中一個文件,獲得運行需要的一些參數。要是無法獲得這些參數,病毒就無法運行起來。
病毒將用戶名加密之後作為互斥對象名創建互斥對象,防止自己的其他副本進入電腦重復,然後運行檢查是否有Zone labs防火牆運行,如有則將其關閉。
接下來,病毒就連接由病毒作者指定的地址從http://1*4.1*6.1*3.157/ping.php/%s/%d/%d,下載其他病毒到本地運行。這些病毒大部分是盜號木馬。由於該下載器每小時就會執行一次下載,就造成電腦中運行的木馬越來越多,造成系統反應變慢。
二、“問道盜號者61440”(Win32.Troj.GameOnlineT.xx.61440) 威脅級別:★
如果沒有對抗型下載器的幫助,盜號木馬想要順利在用戶的電腦中運行,就得自己設法對抗殺毒軟體。此篇播報中的《問道》盜號木馬,就具有一定的對抗能力。
該毒盜號方式比較簡單和老套,它進入系統後釋放文件hellodonk.exe和hellodon.dll到%WINDOWS%\system32\目錄下,再添加自己到註冊表啟動項。
然後,病毒建立自己的進程,開始搜尋是否存在“AskTao”(《問道》遊戲)的窗口,如果找到的話,病毒會結束掉該窗口,如果玩家不慎重,立即再登錄遊戲的話,木馬就可以乘機記錄下玩家輸入的賬號密碼。
所有的行為一切看上去都一目了然,這樣當然會被殺毒軟體發現。於是病毒作者設置了許多複雜的加密,對自己的大量函數,以及發送贓物的網址進行加密,不過毒霸依然能夠徹底查殺該毒。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障電腦的安全。
2.由於玩網路遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網路使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。
(責任編輯:董建偉)
