“大口袋盗号者86016”(Win32.PSWTroj.OnlineGames.uy),这是一个盗号木马程序。该程序可准确记录用户从键盘敲入的所有账号、密码等敏感信息,然后发送到木马种植者指定的远程地址。
一、“IRC肉鸡311296”(Win32.Hack.SdBot.311296) 威胁级别:★★
即时聊天工具因其独有的便捷性,使人们的交流变得越来越容易,从而扩大了信息传播的覆盖面。但也正是这一点,一些恶意程序纷纷将即时聊天工具作为作案工具。相信用户们对QQ尾巴、MSN圣诞虫等木马肯定不会陌生,它们就是利用即时聊天工具进行传播的。而此次我们要提醒广大用户注意的,是一个IRC木马。
IRC是英文Internet Relay Chat的缩写,它是一个1988年起源于芬兰的即时聊天方式,目前广泛应用于全世界 60多个国家。与会自动传播QQ尾巴那种,这个IRC木马是一个后门程序,它被人为地隐藏在某些正常文件中,然后发给用户。当进入用户电脑后,它会将病毒文件klog.txt和SERVICE.EXE释放到系统盘的%WINDOWS%\system32\目录下,并修改注册表启动项实现自动启动。
随后,该木马主动连接木马作者指定的IRC聊天服务器,使木马作者能以“聊天”的方式不断地向中毒电脑发送命令。经毒霸反病毒工作人员分析,其中对用户危害较大的主要命令有记录用户的键盘动作、抓取用户的屏幕、下载文件、向远端计算机发起DOS攻击、自我更新、关闭指定的进程、开启用户机器上的默认共享、将获取的用户信息发送给指定邮箱等。
虽然此木马具有如此大的威胁,但对它的防范,说到底,也没有什么特别需要注意的地方,依然是“养成良好的上网习惯”,比如不要随便接收别人发给的文件和过于贪图IRC上的免费资源。毕竟相当一部分时候,不法分子是利用你的好奇心和占便宜心理来作案的。
二、“大口袋盗号者86016”(Win32.PSWTroj.OnlineGames.uy) 威胁级别:★★
盗号木马的唯一任务就是盗取木马种植者想要的数据和资料。此次毒霸捕获的这个盗号木马,它的作案目标范围比较大,并不仅局限于网络游戏账号。它在进入用户电脑后,会将病毒文件krnj32drv.dll释放到系统盘的%WINDOWS%\system32\下,建立全局监视程序,不断注入所有进程中,寻找账号、密码、邮件地址等敏感信息的输入对话框。
如果找到目标,病毒就展开键盘记录,记下对话框的主题以及用户通过键盘输入这些对话框的全部信息。成功得手后,病毒在用户无法察觉的情况下建立远程连接,从后台将赃物发送到木马种植者指定的网站。
经过毒霸工作人员分析,虽然此病毒的作案目标较大,但除盗窃敏感信息外,对系统没有别的危害,并且毒霸可以查杀它,因此用户们不必过于担心。不过,仍需再次提醒大家,良好的上网习惯始终是最有效的反病毒措施,只要不上不良网站、不进行非法下载、同时及时给系统打补丁和升级安全软件,我们系统的危险就会大大降低。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。