“神泣盗号木马102456”(Win32.Troj.OnLineGamesT.ny.102456) 威胁级别:★
此病毒近来发现变种较多,因此发出预警播报。
病毒在进入系统后,在系统盘的%WINDOWS%\system32\下释放出病毒文件aitlasys.exe、fstlbsys.sys、zptlcsys.dll,然后修改注册表,创建自己的启动项,实现开机自启动。
完成以上步骤,病毒就删除自己的原始文件,减小被用户发现的机率。然后,它把dll文件注入到系统进程当中,搜索网络游戏《神泣》的进程,注入其中盗取游戏帐号和密码等信息,并通过网页提交的方式,发送到木马种植者指定的邮箱。给用户造成虚拟财产的损失。
“大话西游盗号木马106503”(Win32.Troj.KillAV.c.106503) 威胁级别:★
病毒在系统中释放出两个病毒文件,一个是%WINDOWS%\system32\drivers\目录下的dhkeylog.sys,另一个是%WINDOWS%\system32\目录下的一个dll格式文件,它的文件名是采用原始文件名称+hd.dll的格式。并且,该dll文件是病毒的主文件,它会被写入注册表启动项,以使得病毒实现开机自启动。
病毒运行起来后,注入到系统桌面进程Explorer.exe和所有非系统进程当中,搜索江民和木马防火墙等多款安全软件窗口,入有发现则将其关闭,防止这些安全软件阻止它接下来的行为。
接着,它查找网络游戏《大话西游》的进程,监视客户端与服务器端的通信,从中截获用户的账号和密码等信息,并以网页提交的方式把它们发送到http://www.******.cn/dhxyxiong/post.asp这个由病毒作者指定的远程地址。给用户造成虚拟财产的损失。
“盗号虫34304”(Worm.Agent.ez.34304) 威胁级别:★
这个蠕虫病毒是一个盗号木马,它利用感染和捆绑其它正常文件的办法进入用户电脑。然后执行破坏行为。
病毒会在系统中释放出两个病毒文件,分别为%WINDOWS%\System32\目录下的WinNt32.dll和%WINDOWS%\System32\drivers\目录下的Aaa00.sys。
其中,Aaa00.sys是病毒主文件,它会被写入系统注册表,使得病毒实现开机自动运行。为迷惑用户,该毒在设置启动项时,是伪装成“ImagePath”(图像路径)的进程。
如果能跑起来,病毒就展开记录工作,它会记下用户通过键盘输入的各种看上去像网游帐号和密码数据,然后发送给病毒作者指定的地址。
“疯狂下载器33760”(Worm.Jalous.33760) 威胁级别:★
这个下载器的运行原理很简单,不过它下载的木马数量较多。
病毒在进入用户系统后,就立即在%WINDOWS%\system32\目录下释放出病毒文件wxptdi.sys,并删除自己的原始文件,降低被用户发现的风险。
接着,它注入多个系统进程中,隐蔽地运行自己。并悄悄连接病毒作者指定的远程地址http://www.m**p.lov**mll.cn,下载一份病毒列表,然后根据列表里的地址疯狂下载数十个其它病毒。
经毒霸反病毒工程师检查,这些病毒文件都是网游盗号木马程序,它们的主要存放路径是%WINDOWS%文件夹和%WINDOWS%\system32\drivers\文件夹,以及%WINDOWS%\fonts\文件夹。病毒文件的名称是vv*.exe(*表示范围从0-25)和其它各种名称。
“安德夫木马变种HSW(Trojan.Win32.Undef. hsw)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游的帐号、密码等隐私信息,并发送给黑客,使玩家蒙受损失。
“线上游戏窃取者变种OBB (Trojan.PSW.Win32. GameOL.obb)”病毒:警惕程度★★★,盗号木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。
“小木马变种VUA(Trojan.DL.Win32.Small. vua)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
该病毒运行后将自身复制到系统目录中,修改注册表实现开机自动运行。病毒会关闭多种反病毒软件,造成这些软件无法正常使用。它会自动从黑客指定的网站下载病毒及木马文件并运行。这些下载的病毒及木马可能会盗取用户的账号及密码等个人信息并发送给黑客。
“线上游戏窃取者变种AFR (Trojan.PSW.Win32.GameOL.afr)”病毒:警惕程度★★★,盗号木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。
病毒名称:TrojanSpy.KeyLogger.hb
中 文 名:“键盘终结者”变种hb
病毒长度:18755字节
病毒类型:间谍类木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.KeyLogger.hb“键盘终结者”变种hb是“键盘终结者”木马家族的最新成员之一,采用VB编写,并经过添加保护壳处理,图标伪装成某些安装程序的图标,诱骗用户点击运行。“键盘终结者”变种hb运行后,自我复制到被感染计算机系统的指定目录下。自我注册为系统服务,实现木马开机自动运行。破坏注册表内的*.exe的文件关联,使得用户无法正常运行*.exe文件。在被感染计算机系统后台秘密监视用户的键盘输入,窃取用户输入的账号及密码等信息,并将机密信息发送到骇客指定的服务器站点上,给用户带来不同程度的损失。
