天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

网吧注意 BHO插件让系统疯狂弹广告

2008-3-6金山佚名

      “BHO广告插件83456”(Win32.ADA.a.83456),这是一个广告插件木马。该木马运行后,复制自身到系统文件夹,擅自修改注册表注册表中添加BHO浏览器加载项,造成IExlpore.exe启动时会弹出广告。此木马还具备自动更新功能。

      “网游大盗95744”(Win32.PSWTroj.OnlineGames.95744),这是一个盗取《剑侠情缘2》、《破天一剑》、《征服》、《卓越之剑》以及“浩方对战平台”等游戏和软件账号的木马变种。它运行后首先会循环查找并试图关闭杀毒软件“卡巴斯基”的报警和提示的窗口。然后展开全局监视,伺机窃取用户的账号信息,并回传到木马投放者指定的网址。

      一、“BHO广告插件83456”(Win32.ADA.a.83456) 威胁级别:★★

      病毒在电脑中运行起来后,会在系统盘的%WINDOWS%\system32\目录下释放出一个随机命名的.dll格式病毒文件。然后在不告知用户的情况下修改注册表,将BHO(Browser Help Objects浏览器辅助插件)的相关数据写入浏览器中,并将自己设为随系统启动而启动。

      当电脑重新启动后,病毒就会注入到系统桌面进程Explorer.exe中,并不时弹出木马作者指定的广告,如果用户不小心点击,就会被立即引导到广告网站,为该站点“贡献”流量。如果这些广告网站上被挂有木马程序,用户电脑的系统安全就会处于危险之中。

      此外,病毒还会悄悄建立远程连接,从木马作者指定的地址“http://i**p*n.y**ames.com/ie**wn/down”下载升级文件,实现自动更新。

      二、“网游大盗95744”(Win32.PSWTroj.OnlineGames.95744) 威胁级别:★★

      病毒进入用户系统后,在系统盘%WINDOWSt%目录下释放出病毒文件NAVMon32.exE和NAVMon32.dll,并将自己的相关数据写进注册表启动项,实现随系统启动而自动运行之目的。

      如果顺利运行起来,病毒就将之前生成的dll文件注入到系统桌面进程explorer.exe中,展全局监视。如果发现了《剑侠情缘2》、《破天一剑》、《征服》、《卓越之剑》等网络游戏,以及“浩方”对战平台的进程,就立即注入其中,通过读取游戏住程序内存的方式,获取用户的账号信息。

      得手之后,病毒在用户无法知晓的情况下建立远程连接,将偷到的账号信息发送至木马投放者指定的网址“http://www.n**dvd.com/m**g*en/lin.asp”,给用户造成虚拟财产的损失。

      金山反病毒工程师建议

      1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

      2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

转载地址;http://technic.i8cn.com/news4837.htm

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:金山 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行