2010年9月6日【支付宝劫持器创建进程弹出误导信息框】

以下是2010年9月6日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件：avengert@antiy.net，我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“支付宝劫持器”（Trojan/Win32.Banker.ue[Banker]）  威胁级别：★★★★
     该病毒是一个窃取支付宝和银行账号的木马，EXE病毒文件为易语言所写，病毒运行之后衍生Shells.dll文件到系统目录下，创建2个隐藏CMD.EXE进程，删除队列消息。遍历进程查找CMD.EXE进程，将衍生的Shells.dll病毒文件注入到CMD进程中，注入成功后弹出一个“文件已损坏！”的信息框误导用户以为文件损坏而不怀疑病毒文件，将病毒DLL注入之后调用远程线程执行病毒代码。

二、“代理下载者”（Trojan/Win32.Agent.elsh[Downloader]）  威胁级别：★★★★
     该病毒属木马类，病毒运行后衍生病毒文件到系统目录下，并删除自身；修改注册表，添加启动项，以达到随机启动的目的；连接网络，下载大量病毒文件到本机运行，该病毒的部分版本下载的文件可引起DNS欺骗。


安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新；如未安装安天防线，可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址：哈尔滨898邮政信箱
邮政编码：150006
Welcome to visit Antiy Labs
中文站 ：http://www.antiy.com
English：http://www.antiy.net