◆“哲拉蒂”變種axbe是“哲拉蒂”網(wǎng)絡(luò)蠕蟲家族的最新成員之一，采用高級(jí)語言編寫，并經(jīng)過添加保護(hù)殼處理。“哲拉蒂”變種axbe運(yùn)行后，自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的指定目錄下。修改注冊(cè)表，實(shí)現(xiàn)“哲拉蒂”變種axbe開機(jī)自動(dòng)運(yùn)行。從被感染的計(jì)算機(jī)上搜索有效的郵箱地址，利用被感染的計(jì)算機(jī)群發(fā)帶毒郵件。在后臺(tái)連接駭客指定站點(diǎn)，下載惡意程序并在被感染計(jì)算機(jī)上自動(dòng)調(diào)用運(yùn)行。其中，所下載的惡意程序可能是網(wǎng)游木馬、廣告程序（流氓軟件）、后門等，給被感染計(jì)算機(jī)用戶帶來不同程度的損失。

◆“QQ大盜”變種dbz是“QQ大盜”木馬家族的最新成員之一，采用Delphi編寫，經(jīng)過添加保護(hù)殼處理。“QQ大盜”變種dbz運(yùn)行后，在被感染計(jì)算機(jī)系統(tǒng)盤的指定目錄下釋放病毒文件“NewSys55.Sys”。修改注冊(cè)表，將“NewSys55.Sys”注冊(cè)為瀏覽器輔助對(duì)象（BHO），實(shí)現(xiàn)木馬開機(jī)自動(dòng)運(yùn)行。在后臺(tái)秘密監(jiān)視用戶打開的窗口標(biāo)題，一旦發(fā)現(xiàn)用戶打開QQ登陸窗口便記錄鍵擊，竊取用戶的QQ用戶名和密碼，給用戶帶來不同程度的損失。

◆“QQ偽裝盜號(hào)者163840” 今天首先需要介紹的是一個(gè)QQ盜號(hào)木馬。據(jù)毒霸反病毒工程師的監(jiān)測(cè)，此木馬以及它的若干變種在近日大量增加。整體來看，該毒的技術(shù)含量并不高，毒霸、清理專家以及大部分其它安全軟件都能將其查殺，但基于病毒流行趨勢(shì)的需要，我們依然發(fā)出預(yù)警播報(bào)。

該毒在進(jìn)入用戶系統(tǒng)后，會(huì)將病毒文件explorer.exe和systemlr.dll釋放到系統(tǒng)盤的%WINDOWS%system32目錄下，其中的explorer.exe是病毒主文件，它的數(shù)據(jù)會(huì)被寫入注冊(cè)表啟動(dòng)項(xiàng)，以實(shí)現(xiàn)開機(jī)自啟動(dòng)，由于名字偽裝成與系統(tǒng)桌面進(jìn)程一樣，會(huì)給用戶造成一定的迷惑。而systemlr.dll則是用來執(zhí)行盜號(hào)的，習(xí)慣手動(dòng)殺毒的用戶一定要?jiǎng)h除這兩個(gè)文件。

在順利運(yùn)行起來后，病毒就將systemlr.dll注入到桌面進(jìn)程中，搜尋并注入QQ的進(jìn)程，通過內(nèi)存讀取的方式盜取密碼，并把密碼發(fā)送到木馬種植者指定的郵箱中。病毒作者獲得用戶的QQ號(hào)后，會(huì)洗走用戶的Q幣，并向用戶的好友發(fā)送含有掛馬網(wǎng)頁地址的鏈接，傳播各類其它盜號(hào)木馬。

關(guān)于該病毒的詳細(xì)分析報(bào)告，可在金山病毒大百科中查閱 http://vi.duba.net/virus/win32-pswtroj-qqpass-xw-163840-50536.html

◆“熱血江湖偽裝登錄器458752”這個(gè)木馬會(huì)利用假冒的游戲登錄器來收集《熱血江湖》玩家的帳號(hào)信息。

病毒利用網(wǎng)頁掛馬和捆綁文件等方法進(jìn)入用戶系統(tǒng)后，會(huì)釋放出3個(gè)病毒文件，分別為%windows%目錄下的BO.exe、%WINDOWS%System32目錄下的terple.sys和sperls.dll，其中BO.exe是病毒主文件，它會(huì)被寫入系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)，實(shí)現(xiàn)開機(jī)自啟動(dòng)。

木馬會(huì)把dll文件注入系統(tǒng)進(jìn)程explorer.exe和Client.exe中，展開全局監(jiān)視，在系統(tǒng)中搜尋 “yb_sync.dll”和“yb_mem.dll"”兩個(gè)文件的所在路徑。它們是《熱血江湖》的文件，只要發(fā)現(xiàn)了它們，病毒就能夠判定用戶電腦中安裝了它想下手的目標(biāo)。

接下來，病毒就找到游戲目錄，將登錄程序 launcher.exe 重命名為 launchar.exe，并設(shè)置 為“系統(tǒng)”和“隱藏”，再將之前生成的病毒文件 BO.exe 復(fù)制到游戲目錄下偽裝成 launcher.exe。這樣一來，用戶就會(huì)把病毒當(dāng)作正常的登錄器來運(yùn)行。
當(dāng)用戶用這個(gè)假冒的登錄器登錄游戲時(shí)，病毒就被啟動(dòng)，它注入游戲進(jìn)程的內(nèi)存，讀取帳號(hào)信息并發(fā)送至木馬作者指定的接收網(wǎng)址。與此同時(shí)，它會(huì)調(diào)用那個(gè)被藏起來的真正登錄器，為用戶執(zhí)行登錄。再加上運(yùn)行完畢后，病毒會(huì)執(zhí)行自我刪除程序，刪掉自己的原始文件，這樣一來，用戶就完全無法察覺系統(tǒng)的異常。

關(guān)于該病毒的詳細(xì)分析報(bào)告，可在金山病毒大百科中查閱 http://vi.duba.net/virus/win32-pswtroj-onlinegames-ni-458752-50537.html

◆Win32/Cutwail.DO是一種帶有rootkit功能的特洛伊病毒，能夠修改系統(tǒng)的winlogon.exe文件。它可能用來下載并運(yùn)行任意文件，將它們保存到磁盤或者注入其它的程序。同時(shí)，這些文件被用來發(fā)送大量的郵件和更新Cutwail的最新變體。

Cutwail運(yùn)行時(shí)生成%Windows%System32main.sys文件。

病毒危害：
下載并運(yùn)行任意文件；
發(fā)送大量的郵件；
Rootkit 功能。

標(biāo)簽： 安全 搜索 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。