一些论坛、社区或不良视频网站投放下载链接,然后以热播影片引诱用户下载,一旦用户安装这些被动过手脚的播放器,木马就会立即运行起来,执行木马团伙设定的指令,主要是弹出广告窗口和下载其它木马。
避免遭遇此毒的最好办法,是尽量去各播放器的官方页面下载。
江民:
江民今日提醒您注意:在今天的病毒中Trojan/PSW.GamePass.aikt“网游大盗”变种aikt和TrojanDownloader.JS.Agent.yuj“代理木马”变种yuj值得关注。
英文名称:Trojan/PSW.GamePass.aikt
中文名称:“网游大盗”变种aikt
病毒长度:99840字节
病毒类型:盗号木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:50164e195708e6945f0cdd9322388f03
特征描述:
Trojan/PSW.GamePass.aikt“网游大盗”变种aikt是“网游大盗”盗号木马家族中的最新成员之一,采用“Visual C++ 2005 Release”编写。“网游大盗”变种aikt会自我复制到“%SystemRoot%\system32\”文件夹下,重新命名为“mnmsrvc.exe”。同时会将系统同名文件重新命名为“mnmsrvc.exe.bak”,并删除“%SystemRoot%\system32\dllcache\”、“dllcache_bk\”和“%SystemRoot%\ServicePackFiles\i386\”目录下的同名文件,另外会向标题为“Windows File Protection”的窗口发送关闭窗口的信息,以此防止系统自行恢复被替换的文件。“网游大盗”变种aikt会启动“mnmsrvc.exe”对应的系统服务“mnmsrvc”(NetMeeting远程桌面共享服务),以此实现开机自动运行。另外,“网游大盗”变种aikt可能会根据当前系统的具体情况,替换其它系统服务,例如“ImapiService”(CD刻录服务)或“DFSR”(分布式文件系统复制服务)对应的系统文件“imapi.exe”和“DFSR.exe”。“网游大盗”变种aikt会结束常见的几个网页浏览器软件进程,同时连接指定的网址进行下载恶意程序等恶意行为。另外,“网游大盗”变种aikt还会通过访问指定站点、连接搜索引擎进行特定关键字搜索等操作为骇客带来非法的经济利益。
英文名称:TrojanDownloader.JS.Agent.yuj
中文名称:“代理木马”变种yuj
病毒长度:1004623字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:5bd786562543f299eacc37dbde24434e
特征描述:
TrojanDownloader.JS.Agent.yuj“代理木马”变种yuj是“代理木马”木马下载器家族中的最新成员之一,采用易语言编写。“代理木马”变种yuj是一个捆绑了正常软件“CCTV网页播放器插件安装程序”的恶意程序,运行后会在被感染系统的“%SystemRoot%\”文件夹下释放该软件“ddl1.exe”并执行安装。而“代理木马”变种yuj则会在后台篡改注册表,修改用户的IE浏览器首页为“http://www.18*hi.com”,从而为不法分子谋取不正当的经济利益。
卡巴斯基:
警惕“梦幻西游”盗号木马肆虐
卡巴斯基实验室近期检测到一种名为“刀疤”的盗号木马(Trojan.Win32.Scar.abnv)肆虐网络,造成很多网友感染。该木马采用UPack加壳,主要攻击目标是“梦幻西游”网络游戏。它一般通过网页挂马或下载器下载等方式感染计算机。进入计算机后,木马会释放恶意文件到计算机磁盘,并且修改和创建注册表项。“刀疤”盗号木马的一大特点是其既可作为exe运行,又可作为dll运行。作为exe时会释放加载dll,而做dll运行时则进行盗号。木马运行后会首先检查自己是作为exe启动的还是作为dll启动,虽然行为不同,但其最终结果都是执行木马代码,窃取网游用户的游戏帐号信息。不仅如此,此木马还会搜索“图片和传9
7
3
1
2
3
4
8
: