以下是2010年4月27日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
======================================================================================================
安天实验室每日病毒预警
一、“诛仙窃贼”(Trojan/Win32.WOW.inv[Stealer]) 威胁级别:★★★★
该恶意代码文件为诛仙游戏盗号木马,病毒运行后连接网络下载文件,遍历进程查找"elementclient.exe"进程,找到之后强行结束该进程,判断注册表是否有诛仙游戏的键值,如果有则拷贝%System32%目录下的comres.DLL文件到诛仙的element目录下命名为sysGTH.dll,衍生文件DLL文件到诛仙游戏element目录下命名为ZPWGameRecord.dll、comres.dll并将文件属性设置隐藏,如没找到诛仙注册表项则不会衍生以上2个病毒DLL文件,遍历进程查找"avp.exe"、"KVMonXP.exe"进程,如果找不到以上2个安全软件进程,则会在临时文件夹下衍生一个elementzx.dll病毒文件,动态LOAD该DLL病毒文件,获取该病毒DLL文件的"zhko"模块入口并调用,如果进程中存在以上2个安全软件,则将病毒自身文件体移动到临时目录下然后退出进程。
病毒DLL运行后获取自身模块地址,判断自身是否被注入在Explorer.exe与elementclient.exe进程中,如不是则退出,如是设置钩子监视鼠标移动,读取游戏内存地址数据获取账号密码以URL方式发送到作者指定的地址中。
二、“骗取者”(Trojan/Win32.QQPass.tdo[stealer]) 威胁级别:★★★★
该病毒运行后,创建窗体,调用系统API函数将窗口最小化到托盘,获取注册表QQ安装位置,添加启动项;释放加密文件到系统根目录下,读取内容后将其删除;修改系统host文件,使访问腾讯官方网站、深圳市公证处网站指向恶意网站;遍历系统进程,反制反病毒软件;该病毒运行一定时间后会在系统托盘图标假冒腾讯信息提示,如果双击该提示会显示假冒的腾讯系统消息,并要求用户点击查看详细信息进入恶意网站。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
======================================================================================================
中国安天实验室
通讯地址:哈尔滨898邮政信箱
邮政编码:150006
Welcome to visit Antiy Labs
中文站 :http://www.antiy.com
English:http://www.antiy.net |
|