ARP联盟图文中心下载中心手机频道最近更新软件最近更新文章网络热点
您当前的位置→图文中心新闻资讯业界快讯“Skype大盗”木马病毒
站内搜索:

“Skype大盗”木马病毒


2009/4/19  编辑:佚名 来源:本站整理 

一、今日高危病毒简介及中毒现象描述:

  “克隆先生”变种yy是“克隆先生”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“克隆先生”变种yy运行后,会在被感染计算机系统的“%SystemRoot%\”目录下释放经过加壳保护的恶意程序“系统”(无扩展名),并设置文件属性为“系统、隐藏、只读”。“克隆先生”变种yy运行时,会将恶意代码注入到新创建的“iexplorer.exe”进程中隐密运行,不断尝试与控制端(地址为:202.106.*.39:8000)进行连接,一旦连接成功,则被感染的计算机便会沦为骇客的傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行,屏幕监控、键盘监听、鼠标控制、视频监控等,会给用户的个人隐私甚至是商业机密造成不同程度的损失。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户构成了更加严重的侵害。另外,“克隆先生”变种yy会在被感染计算机中注册名为“系统.com.cn”的系统服务(服务描述为“文件监控管理.”),以此实现木马的开机自启。

  “Skype大盗”变种a是“Skype大盗”木马家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0”编写,经过加壳保护处理,是一个专门盗取“skype”网络电话账号的木马程序。“Skype大盗”变种a运行后,会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重新命名为“wmpnetw.sys”。同时,还会在相同目录中释放恶意DLL组件“MSWINSCK.OCX”。“Skype大盗”变种a图标伪装成“Skype”程序图标,以此来诱骗用户点击运行。该木马运行后,会打开一个高度仿真的“Skype”登陆窗口,如果用户在这个仿冒的登陆窗口中输入账号和密码并点击“登录”按钮,则用户的账号信息便会被发送至骇客指定的远程服务器站点上,从而给用户造成了不同程度的损失。在窃取行为完成后,该木马还会显示“文件丢失,请重新下载安装”的虚假信息,以此更深程度的蒙蔽了用户。另外,“Skype大盗”变种a会通过修改注册表键“ShellExecuteHooks”的方式实现开机自动运行。

  二、针对以上病毒,比特网安全频道建议广大用户:

  1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

  2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

  3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

参考消息:http://www.arpun.com/  截至记者发稿时止,江民的病毒库已更新,并能查杀上述病毒。感谢江民科技为比特网安全频道提供病毒信息。

更多精彩,请查看本类栏目: 新闻资讯 - 业界快讯
除非注明,ARP联盟文章来于网络,投稿原创等,转载请以链接形式标明本文地址。
本文地址:http://www.arpun.com/article/3130.html

相关文章
  • ·[组图]西澳大利亚雷达图上出现神秘的“S”型生物
  • ·[图文]Win10最新版9879即将发布至“Slow Ring”
  • ·“Skype大盗”木马病毒
  • 发表评论
    栏目列表
    阅读排行
    本类最新
    网站帮助 - 广告合作 - 下载声明 - 网站地图