一、“黑客遥控器9728”(Win32.Hack.PcClient.9728) 威胁级别:★
病毒进入系统后,在系统盘根目录下释放出5个病毒文件,分别为%WINDOWS%下的0004bb58.inf和另外三个随机命名的.dll、.KEY、.sco格式文件,以及%WINDOWS%\drivers\目录下的一个.sys文件。然后,它修改注册表系统项,将自己的相关数据加入其中,使自己达到随系统启动而启动之目的。
为了避免用户的发现,病毒会将自己伪装为名为“rtltvb”的WINDOWS系统的服务进程,如果用户注意检查其属性,可发现它的描述为:“Microsoft .NET Framework TPM”,路径为“%sys32dir%\svchost.exe -k rtltvb”,伪装得还真像!
如果得以顺利运行,病毒就会读取注册表中关于代理服务器的数据,从而掌握用户的代理服务器地址。然后,它尝试在后台悄悄创建多个线程,与黑客指定的远程服务器2*1.2*7.17.2*6建立通讯,随时等待接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
二、“网游盗号木马14452”(Win32.Troj.AgentT.fm.14452) 威胁级别:★
病毒进入用户的电脑系统后,在系统盘中释放出4个病毒文件,分别为%WINDOWS%\system32\目录下的avwgein.dll、avwgemn.dll、avwgest.exe,以及%WINDOWS%\Fonts\目录下的msguasd.fon。随后,它修改注册表,将自己相关数据写入其中,达到随系统启动而启动之目的。
当开始运行后,病毒首先会在系统盘中搜索windows系统的第KB908531项安全补丁文件verclsid.exe,发现后立刻将它删除。接着,病毒不断注入当前已启动的进程中,并自动判断注入的进程是否为ElementClient.exe这一项,如果是,就立刻展开监控程序,截获用户的帐号和密码等数据。
顺利得手后,病毒就在用户无法察觉的情况下建立远程连接,把盗取所得的帐号信息发送至http:/ /www.3**678.cn/x**q/97wg/post这个由木马种植者指定的接收网址,给用户造成虚拟财产的损失。由于ElementClient.exe这一名称被《武林外传》、《完美世界》、《诛仙》等多款网络游戏采用,因此,该病毒的影响面积也较大。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
