找回密码
 注册创意安天

盗号木马“兴师问罪” 疯狂下载者很疯狂

[复制链接]
发表于 2008-6-5 09:47 | 显示全部楼层 |阅读模式
以下是2008年6月5日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复.
        ===========================================================================================================================================
        安天实验室每日病毒预警

一、“盗窃者”(Trojan-PSW.Win32.OnLineGames.aide)  威胁级别★★★
    该病毒为问道游戏盗号木马类,病毒运行后判断病毒文件是否被注入到Explorer.exe,如没有则复制自身到%Windir%目录下,重命名为anistio.exE,添加注册表启动项,判断%System32目录下是否存在anistio.dll,如有则删除从新生病毒文件到该目录下,并将该病毒文件注入到Explorer.exe进程中,创建病毒互斥量,目的防止多次运行,Hook游戏进程asktao.mod进程截获用户名及密码,读取游戏配置文件config.ini获取账户信息发送作者指定的收信地址中。

二、“疯狂下载者变种aijp”(Trojan-PSW.Win32.OnLineGames.aijp)  威胁级别★★★★★
    该病毒为下载者木马类,病毒运行后衍生ctfmon.exe到%Windir%目录下,测试是否能访问www.google.cn或[url]www.baidu.com[/url],如能访问则连接网络读取列表下载大量恶意文件,并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱动穿以下还原及安全系统,GUARDFIELD.EXE(360还原保护器)、BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序),将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将Explorer.exe进程结束后加载%System32%目录下的Explorer.exe,并感染%Windir%目录下的Explorer.exe文件,该病毒调用IsDebuggerPresent检测反调试器,如发现反调试器则调用shutdown函数立即执行关闭计算机操作,病毒运行后创建emsf3.bat文件并调用其删除自身。


安天反病毒工程师建议
        1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线2008到2008年6月5日的病毒库即可查杀以上病毒;如未安装安天防线2008,可以登录http://www.antiy.com免费下载最新版安天防线来防止病毒入侵。


[ 本帖最后由 avengert 于 2008-6-5 09:48 编辑 ]
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-22 21:09

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表