天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

病毒冒充XP升级文件 变身安全软件骗钱财

2008-3-30金山佚名
 “假保安诈骗木马29632”(Win32.Troj.Update.a.29632),这是个下载器程序。它会从指定的网站下载一个伪装成安全软件的间谍工具到本地,欺骗用户说电脑上有异常,要求购买所谓的“正版软件”进行修复,达到骗取钱财的目的。

“魔兽地狱烈焰盗号者”(PE.Win32.PSWTroj.OnLineGames.90112),这是一个针对网游《魔兽世界》盗号木马程序。它会关闭杀毒软件卡巴斯基的进程,然后盗取电脑上网络游戏《魔兽世界》的账号信息。为阻止用户查杀,它还注入系统关键进程中运行,造成直接关闭进程时系统运行可能出现异常。

一、“假保安诈骗木马29632”(Win32.Troj.Update.a.29632) 威胁级别:★★

安装安全软件当然是为了保护电脑数据的安全,但如果你电脑上的安全软件不但无法保护你的电脑,还对你坑蒙拐骗,你该怎么办呢?昨天毒霸反病毒工程师就处理了这样一个“安全软件”。

这个“安全软件”是利用一个专门的下载器进行传播,它的下载器会通过与其它软件捆绑、流氓式安装等方式进入用户电脑。运行后会在%WINDOWS%目录下释放出下载器主文件xpupdate.exe,以及在%Programfiles%目录下生成多个其它病毒文件。

接着,该下载器开始收集用户的系统信息,并以指定格式发送至病毒作者安排的地址http://dow***ad.M****reAlarm.com/madownload.php,进行分析。然后根据服务器反馈的信息下载间谍软件,以MalwareAlarm.exe的名称放到系统盘的%Programfiles%\MalwareAlarm\目录下。

当修改注册表、实现随系统自启动后,这个间谍软件就会弹出一个虚假的提示消息,显示出“您的电脑系统中存在严重异常,请立即购买本产品正式版进行修复!”之类让用户感到恐慌的窗口。让人在不知所措中匆忙按照它的提示汇款、转账,达到骗取钱财的目的。如果说盗号木马是顶着用户的骂声作案,那这种假冒的安全软件则完全是利用电脑用户对安全软件的信任感来进行讹诈,十分可恶。

这类木马已经不是第一次出现,电脑用户们如果发现自己电脑中突然有莫名其妙的安全提示,一定要提高警惕,很可能你遭遇的就是这种骗子。另外,在选择安全软件时,也要像购买普通商品那样,选择形象、口碑都好的品牌,避免遭遇这些“不良厂商”。

二、“魔兽地狱烈焰盗号者”(PE.Win32.PSWTroj.OnLineGames.90112) 威胁级别:★★

病毒进入电脑后,立即修改%windows%目录下的系统文件win.ini。别看这个文件不起眼,它在系统中是负责配置Windows开机程序、警告声音、键盘响应的速度等属性的,对它进行修改,会有利于病毒下一步的破坏活动。

同时,病毒释放出病毒文件msoscqit00.dll,将它写入系统注册表,实现开机自启动。搜索并尝试关闭杀毒软件卡巴斯基的进程,然后将该文件注入系统进程services.exe中,用搜索进程和枚举窗口名的方式寻找《魔兽世界》的进程。一旦发现目标,病毒就会通过内存读写的方式窃取玩家的账号信息,并将其发送到木马作者指定的多个远程服务器。

从注入services.exe运行,可看出病毒的狡猾。这个文件用于管理启动和停止服务,是微软Windows操作系统必不可少的一部分,如果用户试图用直接中止该进程的方式关闭病毒,电脑可能就会出现异常。看来,病毒是希望绑架services.exe ,如“地狱烈焰”般一损俱损,阻止用户查杀。不过,只要已经安装毒霸,就可免去担心了。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机

本文来源:金山 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行