一、“偷盗者”(Trojan/Win32.OnLineGames.abow[Stealer]) 威胁级别:★★★★ 该病毒为热血江湖盗号木马,病毒运行后,映射病毒文件句柄,读取映射病毒文件内容,拷贝自身到%System32%目录下,并使用函数打开该病毒文件,由该病毒文件衍生DLL文件到%System32%目录下,添加注册表启动项,查找窗口类名"D3DWindow"(热血江湖游戏),找到该窗体后获取该窗体进程ID,调用API函数强行结束该进程,衍生bat批处理文件删除病毒自身。病毒DLL行为分析:查找进程,读取内存地址数据,并向内存地址写入数据,动态获取函数利用函数获取游戏进程虚拟键盘状态、模拟键盘、鼠标动作,向该窗口发送消息。
二、“木马”(Trojan/Win32.VB.ink[Dropper]) 威胁级别:★★★ 该病毒为木马类,该病毒运行后创建进程,调用API函数查找系统目录所在的位置,找到后衍生病毒文件到%Windir% %ProgramFiles%\CommonFiles\System\ado,并复制自身到%ProgramFiles%\Muiis下。在%Windir%下衍生文件:scrrun.dll、wshom.ocx。修改注册表,把用于阅读和编写脚本、运行脚本的文件所对应的注册表键值路径改为%Windir%\scrrun.dll、%Windir%\wshom.ocx。注册病毒DLL文件,注册CLSID值。修改注册表使其无法显示隐藏文件。在开机自启动项下添加开机自启动项,达到随机启动的目的。隐藏开始菜单“所有程序”中的“启动”项。连接网络更新自身。
安天反病毒工程师建议 1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,如未安装安天防线请点击此处([url]http://www.antiyfx.com/download.htm)[/url]免费下载最新版安天防线来防止病毒入侵。 |
|
发表于 2009-2-3 18:53
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡