近期焦点:
“魔兽老千盗号器98816”(Win32.Troj.OnLineGames.ad.98816),这是一个网游盗号木马。它在进入用户系统后,就释放出自己的子文件,搜索并盗窃《魔兽世界》的帐号和密码。
“黑洞变种492032”(Win32.Hack.Heidong.hk.492032),这是一款黑客程序,主要功能是安装黑洞远程控制服务端,程序运行后释放文件到系统目录,创建自己的远程服务,让黑客可以远程控制客户端电脑。
一、“魔兽老千盗号器98816”(Win32.Troj.OnLineGames.ad.98816) 威胁级别:★
该毒的子文件的命名具有随机性,病毒母体将它释放到%WINDOWS%目录下,以wow[X]_[X].dll,作为其名称,其中X为1000以内的随机数。
它修改注册表,给自己添加一个服务项。服务名为“Remote TCP/IP”映像路径的指向就是之前释放出的子文件。这样,以后用户每次开机时,它都可以跟着自动运行起来。
wow[X]_[X].dll会搜索《魔兽世界》的游戏进程,一旦发现就注入其中,根据病毒作者的设置,进行键盘记录或读取游戏内存,获得玩家的游戏账号和密码。
二、“黑洞变种492032”(Win32.Hack.Heidong.hk.492032) 威胁级别:★★
这款黑客程序出现在反病毒工程师的视野中已有较长时间,它不断有新变种出现。本篇播报中的变种,主要行为和其它黑客程序一样,是建立远程连接,不过它会采用伪装成WINDOWS升级程序的方法来欺骗用户。
它在%WINDOWS%目录下释放出自己的三个子文件,分别为WinLiveUp.dat、WinLiveUp.dll和WinLiveUp.exe,名称看上去都很像WINDOWS系统的升级文件进程。如果是对系统不熟悉的用户,就很容易被欺骗。
当顺利潜伏下来,该毒就修改注册表,实现开机自启动,并于下一次开机后,连接病毒作者指定的远程地址,协助黑客入侵用户电脑。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
- 相关阅读:
- ·黑客借助APP漏洞入侵汽车 完成个性升级
//safe.zol.com.cn/554/5548712.html - ·黑客可用Linux glibc幽灵漏洞控制系统
//safe.zol.com.cn/505/5056468.html - ·专家称升级Win8更危险 应扶植国产系统
//safe.zol.com.cn/453/4534548.html - ·电子密码器升级陷阱 黑客盯梢工行手机银行
//safe.zol.com.cn/397/3979598.html - ·微软更新Windows数字证书打击黑客行为
//safe.zol.com.cn/345/3457192.html
建立一流物联网安全的 5 大必备要素
畅想——2019深信服创新大会
RSA2019信息安全峰会:Better
RSA2018信息安全峰会:Now Matters