安天实验室7月30日病毒预警
出处:安天实验室 时间:2008年7月30日
一、“盗窃者ryhe”(Trojan-PSW.Win32.OnLineGames.ryhe) 威胁级别:★★★
该病毒为盗取TF游戏账号的木马,病毒运行后查找%System32%目录下的Verclsid.exe,找到后将原文件删除,并衍生病毒文件“ddserh.dll”到%System32%目录下,添加注册表注册病毒CLSID值,遍历进程搜索“AVP.exe”,如找到则释放winsYs.reg文件,用来添加病毒HOOK启动项,如找不到“AVP.exe”进程,释放tf0文件到%System32%目录下,调用API对注册表添加病毒HOOK项,等待添加病毒HOOK项完毕后将tf0文件删除,调用LoadLibraryA将病毒DLL加载到进程,试图将病毒DLL文件注入到smss.exe、csrss.exe、winlogon.exe除外的所有进程,衍生的DLL文件主要功能:通过截获当前用户的键盘和鼠标消息以获取游戏的账号及密码,发送到病毒作者指定的URL。
二、“盗窃者aieb”( Trojan-PSW.Win32.OnLineGames.aieb) 威胁级别:★★★
该病毒为盗窃网络游戏“QQ自由幻想”账号的木马。病毒运行后,复制自身到%WinDir%下,衍生病毒文件ticisms.dll到%System32%下;添加启动项,以达到随机启动的目的;病毒试图通过全局挂钩把ticisms.dll注入到所有进程中,遍历所有进程,发现qqffo.exe进程,便注入其中并监视其进程,通过截获当前用户的键盘和鼠标消息以获取网络游戏“QQ自由幻想”的账号及密码,发送到病毒作者指定的URL;该病毒在实现完自身代码后,便会结束自身进程,删除自身文件。
安天反病毒工程师建议
1.最好安装安天防线,防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,升级安天防线到2008年7月30日的病毒库即可查杀以上病毒;如未安装安天防线请点击此处免费下载最新版安天防线来防止病毒入侵。 |
|