网络安全 频道

警惕“伪装下载者”运行病毒代码

  【IT168 资讯】“伪装下载者65536”(Win32.Riskware.wmicsmgr.b.65536),这是一个木马下载者程序。该病毒运行后,注册为浏览器帮助插件。它会在后台利用IE浏览器的进程空间来运行病毒代码,然后连接远程病毒站点,下载其它病毒程序到用户电脑中运行。

  “QQ幻想盗号者16244”(Win32.PSWTroj.OnlineGames.16244),该病毒是针对网络游戏《QQ幻想》的一个盗号木马。它运行后会衍生病毒文件至系统目录下,然后注入游戏进程,伺机窃取玩家的帐号密码等信息。

  一、“伪装下载者65536”(Win32.Riskware.wmicsmgr.b.65536) 威胁级别:★★

  病毒进入系统后,在系统盘的%WINDOWS%\system32\目录下释放出病毒文件wmicsmgr.dll。需要注意的是,此病毒文件的文件名与WINDOWS系统自带的一个DLL文件名很相似,但正常的文件名为wmiscmgr.dll,而不是wmicsmgr.dll。

  随后,病毒修改注册表,把自己的相关数据写入启动项中。它添加的启动项名称是wmicsmgr,注册为“浏览器帮助插件”,试图以此欺骗用户。当资源管理器或IE浏览器启动时,病毒就会随之加载运行起来。

  当病毒被加载后,它就会在后台利用IE浏览器的进程空间来运行自己。这样做的好处是用户不容易发现系统中出现多余的进程。如果成功运行起来,病毒就会连接到木马种植者指定的地址http://www.o*3*6.com/,获取最新的病毒下载地址,然后根据这些地址去下载更多的病毒程序到用户电脑中运行,给用户造成无法估计的更大损失。

  二、“QQ幻想盗号者16244”(Win32.PSWTroj.OnlineGames.16244) 威胁级别:★

  病毒进入用户系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%目录下的MsPrint32D.exe和%WINDOWS%\system32\目录下的MsPrint32D.dll。然后,修改注册表启动项,使自己以后都可以随着系统启动而自动运行。

  完成以上步骤,病毒便执行一个自删除命令,把自己的原始文件删除,使用户不容易发现电脑里出现了多余的文件。

  病毒顺利运行起来后,会把之前生成的MsPrint32D.dll文件注入到系统桌面进程Explorer.exe中,通过读取内存的方式盗取用户的账号和密码等信息。一旦得手,就立即在用户无法知晓的情况下建立远程连接,把偷得的信息以网页提交的形式发送到木马种植者指定的网址“http://www.****.com//xiaoxiao/wu/req.asp”,给用户造成虚拟财产的损失。

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

  金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年1月16的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。

0
相关文章