天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

AUTO病毒增强伪装性 生成大量假微软文件

2008-3-6金山佚名

这是一个AUTO病毒,其最大特点就是具有较强的伪装性。病毒运行成功后,会在系统各盘中生成AUTO病毒文件,AUTO病毒分别是iexplore.exe和autorun.inf辅助文件。另外,还会在%windows%目录下生成一个伪装的QQ.exe文件。接下来,病毒修改系统日期为2000年,使杀毒软件软卡巴斯基的激活码失效,无法正常杀毒,造成用户计算机系统的安全性大大降低。

当用户使用鼠标左键双击进入有AUTO病毒的盘符时,会无法打开该盘并触发该病毒。一旦被触发,病毒立即从网络下载大量脚本病毒到IE缓存和IE历史记录里,导致用户在打开网页时,毒霸会不停报病毒。该病毒运行时的症状是计算机速度明显变慢,并且,当用户重启或关闭系统时,画面会一直停留在底色桌面,无法进行任何操作。

如强行重启,再打开系统盘,可发现在系统盘根目录下多了好几个exe文件,它们的图标都是IE浏览器的图标。而用金山反间谍查看启动项,会发现有两个异常启动项,名称分别为QQ和Internet Explorer.exe,发行商名称:Microsoft Corporation(微软)。很明显,这些也是病毒的伪装。

二、“刀剑盗号木马”(Win32.Troj.OnlineGames.dz.77824) 威胁级别:★★

这是一个盗号木马,网络游戏《刀剑》是它的作案对象。病毒运行后将自身文件sidjaaz.exe复制至%windir%\system32\目录下,并释放病毒文件sidjacs.dll、sidjazy.dll到该目录中,同时还会释放另一个病毒文件cadaafx.fon到%windir%\Fonts\目录下。随后,病毒创建注册表启动项,以达到开机自启动。

接下来,病毒在system32目录下搜索verclsid.exe(这是windows安全验证的一个相关程序),如果发现此文件,就会创建批处理文件将其删除。同时,它还会删除C:\Program Files\NetMeeting\、D:\Program Files\NetMeeting\、%windir%\system32\ 目录下所有的 cfg 后缀名文件。最后,病毒创建线程,不断修改注册表,禁止系统自动更新和关闭系统防火墙.

通过以上步骤完成对安全系统的破坏后,病毒便以内存读写的方式盗取客户计算机上网络游戏《刀剑》的账号信息,给用户造成虚拟财产的损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:金山 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行