|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
伪装下载器使杀软失效下载病毒
|
日期:2008年1月25日 作者: 查看:[大字体
中字体 小字体]
|
1月24日:“伪装下载器106496”(Win32.Troj.DownLoader.wd.106496),这是一个下载者木马。它如果发现系统上有杀毒软件“卡巴斯基”的进程,就会修改系统时间为2000年,使卡巴失效。它会不断重写自己在注册表中的数据、结束大量安全软件进程,以保证自己随时处于最佳的“作案状态”。然后在后台连接指定的地址,下载大量的恶意程序。
“网游盗号木马17109”(Win32.Troj.OnlineGames.il.17109),这是一个能盗取系统多个网络游戏帐号信息的木马程序。它会关闭杀毒软件“卡巴斯基”和“瑞星”的监控提示窗口,然后注入目标进程中,执行相关的盗号行为。
一、“伪装下载器106496”(Win32.Troj.DownLoader.wd.106496) 威胁级别:★
病毒进入用户系统后,在%WINDOWS%\sysmte32\目录下释放出一个冒充系统文件的隐藏病毒文件winscksow.dll,然后立即开始查找系统中是否有杀毒软件“卡巴斯基”的进程avp.exe,如果发现,它就修改系统时间为2000年,令依赖系统时间进行激活和升级的卡巴失效。
接着,病毒创建线程,不断重写注册表启动项重的相关数据,让自己以后都能随系统启动而运行起来。同时它查找系统桌面进程 explorer.exe ,把之前生成的winscksow.dll注入其中利用它的空间来运行自己,从而减少自己被用户发现的机会。
病毒运行起来后,会首先查找并强行关闭毒霸、瑞星、麦咖啡、360安全卫士、风云防火墙等安全软件的进程,如果能够顺利解决掉安全软件,病毒便在后台悄悄建立远程连接,从木马种植者指定的地址http:/ /m**p.lo**m*ll.cn/vm下载6个恶意程序文件,并将它们以0winecest.exe、1winecest.exe……5winecest.exe这样的文件名存放到%WINDOWS%目录下。由于这些恶意程序的功能多样,因此用户的系统安全将遭受无法估计的众多威胁。
二、“网游盗号木马17109”(Win32.Troj.OnlineGames.il.17109) 威胁级别:★
病毒进入电脑系统后,会释放出两个病毒文件,分别是%WINDOWS%目录下的SHAProc.exe和%WINDOWS%\system32\目录下的SHAProc.dll。
接着,病毒迅速创建线程,搜索杀毒软件“卡巴斯基”和“瑞星”的进程,发现后就紧紧盯住它们的提示窗口。如发现它们试图弹出窗口,向用户报告系统中的异常,就抢先将其关闭,使用户无法知道自己电脑中正在发生的情况。
与此同时,病毒修改系统注册表,将自己的相关数据写入启动项,实现开机自启动之目的,接着,就不断查找网络游戏《破天一剑》、《风火之旅》、《剑侠情缘2》、《征服》和“浩方”网络对战平台的进程。如发现,便注入其中窃取用户的帐号信息,并悄悄建立远程连接,把偷得的信息按游戏名称发送到木马种植者安排好的不同地址。给用户造成虚拟财产的损失。 (出处:清风网络学院)
上一篇:Flash贪吃蛇游戏AS代码翻译
下一篇:分布式编程必须知道的几个基本概念
|
| 相关文章: |
|
|
|
| 相关软件: |
|
|
|
|
