病毒預警:竊聽木馬監視用戶盜竊敏感數據
「竊聽木馬184320」(Win32.Troj.Agent.184320),這是一個黑客木馬。該木馬會修註冊表,添加自己的監視程序。系統啟動時,它著隨Exlporer.exe啟動,然後利用監視程序攔截用戶訪問網絡時輸入的敏感數據。
「QQ盜號木馬120312」(Win32.PSWTroj.QQShou.dt.120312),該病毒是針對QQ即時聊天工具的一個盜號木馬。該病毒通過讀取內存盜取用戶的賬號信息,並連同被盜QQ號的QQ等級、Q幣等信息一起發給木馬種植者。
一、「竊聽木馬184320」(Win32.Troj.Agent.184320) 威脅級別:★★
病毒進入用戶電腦系統後,在%WINDOWS%\system32\目錄下釋放出病毒文件ro.dll,然後修改註冊表,將自己的相關數據寫入其中,實現開機自啟動之目的。
一旦成功地隨系統運行起來,病毒就會展開全局監視程序,過濾用戶上網時輸入的敏感數據,比如看上去很像帳號、密碼、機密資料等內容的數據。然後在用戶無法知曉的情況下建立遠程連接,將這些偷來的敏感數據發送給收集者。
病毒作者為了保證偷來的數據能傳到自己的手中,設定了近20個的遠程服務器地址,資深用戶如果使用工具查看,會被長長的地址欄所震驚。
二、「QQ盜號木馬120312」(Win32.PSWTroj.QQShou.dt.120312) 威脅級別:★
病毒進入系統後,在系統盤的%Program Files%\Internet Explorer\Connection Wizard\目錄下釋放出病毒文件isignup.dll和isignup.sys ,然後修改註冊表,把自己的相關信息寫入啟動項,實現隨系統啟動而運行起來之目的。
病毒運行後把之前生成的isignup.sys病毒文件注入到非系統進程當中,搜索QQ即時聊天軟件的進程,發現後注入其中,通過讀取內存盜取用戶的賬號信息。
如果順利得手,病毒就悄悄建立遠程連接,將用戶QQ的Q幣金額,等級相關的信息連同賬號密碼一併發送到木馬種植者的郵箱中。
當運行完成後,病毒文件就生成一個 _xiaren.bat文件,刪除自己的原始文件,使用戶無法找到病毒源。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟件進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟件,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
