一、“代理下载者木马vhb”(Trojan-Downloader.Win32.Agent.vhb) 威胁级别:★★★
该病毒为下载类木马;病毒运行后,在%HomeDrive%下新建一个名称为6位随机数字含有隐藏属性的文件夹,并在此文件夹下建立一个名称为6位随机数字的批处理文件;修改注册表,锁定“不显示隐藏的文件和文件夹”选项,其目的让隐藏的病毒文件不可见;连接网络,首先下载病毒列表文件updata.txt,然后对照updata.txt列表内容来下载大量病毒文件并在本机运行;该病毒在实现完自身代码后,会结束自 身进程,最后利用批处理文件来删除自身。
二、“百变木马变种sbyr”(Trojan-PSW.Win32.OnLineGames.sbyr) 威胁级别:★★★★
该病毒为木马类。其目的是盗取传奇世界游戏账号密码和密保卡信息。病毒运行后修改注册表,在Windows程序初始化中添加大量病毒项,此木马可以协助其他同类病毒添加启动项。病毒首先释放fghdd.dll并在内存加载,随之fghdd.dll释放dfxh.dll、vfdh.dll,使用psapi.dll中的EnumProcessModules进行进程和进程模块枚举,用GetModuleFileNameExA获得ANSI字符串方式模块进程名;将释放文件插入到Explorer.exe和Spoolsv.exe中,用以监视新的进程的启动。利用SetWindowsHookExA设置全局键盘钩子;用ZwTerminateProcess保护自身不被结束;监视woool.dat进程利用SendMessageW和PostMessageA发送断线消息或禁止玩家登陆。病毒运行后删除自身。
安天反病毒工程师建议
1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年7月10日的病毒库即可查杀以上病毒;如未安装安天防线,请点击此处免费下载最新版安天防线来防止病毒入侵。 |
|