03.31病毒预警:“传奇攻防盗号者”破坏反病毒软件主动防御
“QQ盗号者AUTO版110713”(Win32.Troj.QQPass.ag.110713),这是一个盗号木马程序。它会盗取QQ即时聊天工具的帐号和密码。为扩大传染范围,它还会在各磁盘分区中生成AUTO病毒。
“传奇攻防盗号者90112”(Win32.PSWTroj.OnlineGames.tt.90112),这是一个针对《传奇》的盗号木马。它通过释放的驱动程序破坏反病毒软件的主动防御,关闭反病毒软件程序的进程。然后盗取游戏帐号和密码,并把盗取到的信息发送到指定的网站。
一、“QQ盗号者AUTO版110713”(Win32.Troj.QQPass.ag.110713) 威胁级别:★
近日利用AUTO技术进行传播的盗号木马数量突然增多,根据对这些木马分析的结果,毒霸反病毒工程师们认为,部分病毒作者实现了AUTO技术共享,是造成这一现象的原因之一。以下这个病毒,就是若干近日分析的AUTO木马中的一个,它所针对的是QQ聊天工具。
病毒通过被感染的移动存储器、网页挂马等方式进入用户电脑,在系统盘的%programfiles%\Internet Explorer\PLUGINS\目录,也就是IE浏览器的目录中,释放出病毒文件NinSys74.Sys和NysWin75.Jmp,并将后者相关数据写入系统注册表,实现开机自启动。接着,病毒注入到桌面进程Explorer.exe中,监视系统中是否有QQ进程。如果有则注入其中,盗取用户账号密码等信息,发送到病毒作者指定的邮箱http://c*r.m**d3*5.net/qqqq.asp。
按照病毒黑色产业链的流程,被偷走的QQ号,其中比较吉利的号码会被卖给其他QQ用户,剩下的则用于传播挂马网页、含毒文件、垃圾广告等。因此广大用户在使用QQ等即时聊天工具时,一定要申请号码保护,如发现被盗,应尽快通知好友注意和向运营商投诉,以尽可能减少和挽回损失。
应该说该病毒的盗号技术并不复杂,属于很“初级”的盗号木马,之所以危害性较大,是因为采用AUTO方式传播。它在全部的磁盘分区中生成AUTO病毒文件Autorun.exe和Autorun.inf,只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会被激活,从而传染到移动设备上,自动地扩大传染范围。对付这类木马,最好利用清理专家中关闭系统各驱动器的自动运行功能。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-qqpass-ag-110713-50498.html
二、“传奇攻防盗号者90112”(Win32.PSWTroj.OnlineGames.tt.90112) 威胁级别:★★
拥有大量玩家的网游一直是病毒作者眼中的肥肉,随着AV终结者、机器狗、磁碟机的诞生,对抗杀软技术开始在病毒作者中推广开来,盗号木马的威力也有所增大。在昨日毒霸反病毒工程师们分析的病毒中,就有这样一个针对网络游戏《传奇》的盗号木马。
该病毒对抗杀软的方法是破坏杀软的主动防御。它进入电脑系统后,会释放出两个病毒文件,分别为%WINDOWS%\system32\目录下的msoscqit00.dll,以及%WINDOWS%\system32\drivers\目录下的msosfpids32.sys。其中后者就是用于对抗杀软的驱动文件,病毒会将它的数据写入系统注册表,实现自我隐藏,让用户难以发现它。同时,该文件会恢复SSDT表,解除杀毒软件的主动防御功能,这一动作十分关键,一旦成功,用户电脑中依靠主动防御来进行保护的杀毒软件,将变得一无是处。
至于msoscqit00.dll,它在病毒随机启动后,会先注入系统桌面进程,然后在其中轮番注入所有进程进行搜索。如果宿主进程是安全软件的进程,就将其关闭。由于病毒的黑名单较为庞大,许多知名的安全软件都会“中招”。而如果发现注入的是《传奇》游戏的进程,就读写该进程的内存数据,盗取游戏帐号,并将结果发送到指定网站。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-pswtroj-onlinegames-tt-90112-50499.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月31的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
相关文章:
金山03.30病毒预警:“大话西游3盗号者”关闭安全软件、盗号 (2008-3-30 9:18:5)
金山03.29病毒预警:“热血江湖盗号木马”关闭杀毒软件、盗号 (2008-3-29 8:47:31)
金山03.28病毒预警:“循环瘫痪下载器”关闭杀毒软件和防火墙 (2008-3-28 11:40:41)
金山03.27病毒预警:“假保安诈骗木马”下载伪安全软件进行诈骗 (2008-3-27 10:4:20)
金山03.26病毒预警:“网银劫匪”盗窃购物网站帐号及网银密码 (2008-3-26 8:40:51)
瑞星公司03月26日发布 每日计算机病毒及木马播报 (2008-3-26 7:38:33)
金山03.25病毒预警:“工具箱蛀虫”感染程序、打开后门 (2008-3-25 10:30:32)
瑞星公司03月25日发布 每日计算机病毒及木马播报 (2008-3-25 8:26:31)
瑞星公司03月25日发布 每日计算机病毒及木马播报 (2008-3-24 14:37:6)
金山03.24病毒预警:“替身下载器”替换系统文件、下载木马 (2008-3-24 11:29:6)
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。