本周病毒之最:修改IE主页/偷网游帐号

2009/10/16 来源:www.arpun.com 作者:小白

在本周(10月12日-10月16日)的病毒播报中, ZOL软件事业部综合考虑多家安全厂商投递的病毒播报认为, 本周有三个木马病毒程序须引起用户高度警惕, 它们分别由金山毒霸投递的“主页遥控器”木马、“CG网游盗贼变种”, 以及江民投递的“AV杀手”。

  “主页遥控器”入最理由:

  有金山毒霸投递的“主页遥控器”(win32.troj.ykclicker.766220)病毒几乎不具有直接的破坏性, 将其“入最”是由于该病毒专门修改IE浏览器默认主页, 将主页修改为木马控制者的指定挂马页面。

  “主页遥控器”(win32.troj.ykclicker.766220)是日前开始高增长的一个流氓程序, 它通过捆绑于其它程序或文件的方式实现传播, 只要进入系统并顺利运行, 就会将用户的IE浏览器的篡改。

  当用户运行IE浏览器时, 就会首先弹出带有木马病毒的页面, 强迫用户浏览。 流氓特征非常明显。

  “CG网游盗贼变种”入最理由:

  与“主页遥控器”的性质相似, “CG网游盗贼变种”(win32.troj.onlineg.cg.23159)病毒并不具有很强的传染性, 但是该病毒属于大名鼎鼎的CG木马家族的成员, 属于网盗号木马。 最为头痛的是, 该病毒可以根据变种的不同, 盗窃不同网游的账号密码。

  据金山毒霸反病毒技术人员介绍, “CG网游盗贼变种”(win32.troj.onlineg.cg.23159)的感染量并不大, 目前被感染的计算机用户约为7万台次, 但由于另外两款变种win32.troj.onlineg.cg.26726、win32.troj.onlineg.cg.25734的同时流行, 总感染量已突破20万台次, 成为当前流行的网游盗号木马力的“主力”。

  “CG网游盗贼变种”主要是通过木马下载器, 或捆绑游戏外挂等方式进入计算机, 运行后就采用内存注入、消息截获等方式获取用户的游戏账号密码, 然后发送给木马种植者指定的地址。

  “伪程序”入最理由:

  据江民投递的病毒新闻来看, “伪程序”变种ns(Trojan/Antavmu.ns)危害程度并不高, 但其伪装程度非常高、欺骗性非常强, 几乎可以蒙骗, 甚至关闭各种安全软件。 该病毒的主要目的是为了窃取用户信息, 并向指定页面提交用户资料。

  江民技术工程师介绍说, “伪程序”变种ns图标伪装成“Windows 远程桌面连接”, 以此欺骗用户运行。

  运行后, 其会试图关闭各种安全软件相关的系统服务、“Windows防火墙”、“安全中心”服务, 并向“http://www.desenvolvimentone*.com/pharm.php”页面反馈用户的计算机名等信息。 “伪程序”变种ns还可能下载文件“http://208.93.*.110/private/manezeca_hosts.txt”并替换系统“hosts”文件, 从而利用域名劫持阻止用户访问指定的安全厂商的站点。

网友评论
评论(...
全部评论