提到流氓软件,很多朋友都深受其害,不过在2007年流氓插件稍显“低调”。不过记者最近从金山毒霸方面获得最新消息:一种BHO广告插件开始传播,具备广告模式的新木马出现了。
“BHO广告插件83456”(Win32.ADA.a.83456),这是一个广告插件木马。该木马运行后,复制自身到系统文件夹,擅自修改注册表注册表中添加BHO浏览器加载项,造成IExlpore.exe启动时会弹出广告。此木马还具备自动更新功能。
“网游大盗95744”(Win32.PSWTroj.OnlineGames.95744),这是一个盗取《剑侠情缘2》、《破天一剑》、《征服》、《卓越之剑》以及“浩方对战平台”等游戏和软件帐号的木马变种。它运行后首先会循环查找并试图关闭杀毒软件“卡巴斯基”的报警和提示的窗口。然后展开全局监视,伺机窃取用户的帐号信息,并回传到木马投放者指定的网址。
一、“BHO广告插件83456”(Win32.ADA.a.83456) 威胁级别:★★
病毒在电脑中运行起来后,会在系统盘的%WINDOWS%\system32\目录下释放出一个随机命名的.dll格式病毒文件。然后在不告知用户的情况下修改注册表,将BHO(Browser Help Objects浏览器辅助插件)的相关数据写入浏览器中,并将自己设为随系统启动而启动。
当电脑重新启动后,病毒就会注入到系统桌面进程Explorer.exe中,并不时弹出木马作者指定的广告,如果用户不小心点击,就会被立即引导到广告网站,为该站点“贡献”流量。如果这些广告网站上被挂有木马程序,用户电脑的系统安全就会处于危险之中。
此外,病毒还会悄悄建立远程连接,从木马作者指定的地址“http://i**p*n.y**ames.com/ie**wn/down”下载升级文件,实现自动更新。
二、“网游大盗95744”(Win32.PSWTroj.OnlineGames.95744) 威胁级别:★★
病毒进入用户系统后,在系统盘%WINDOWSt%目录下释放出病毒文件NAVMon32.exE和NAVMon32.dll,并将自己的相关数据写进注册表启动项,实现随系统启动而自动运行之目的。
如果顺利运行起来,病毒就将之前生成的dll文件注入到系统桌面进程explorer.exe中,展全局监视。如果发现了《剑侠情缘2》、《破天一剑》、《征服》、《卓越之剑》等网络游戏,以及“浩方”对战平台的进程,就立即注入其中,通过读取游戏住程序内存的方式,获取用户的帐号信息。
得手之后,病毒在用户无法知晓的情况下建立远程连接,将偷到的帐号信息发送至木马投放者指定的网址“http://www.n**dvd.com/m**g*en/lin.asp”,给用户造成虚拟财产的损失。
| 