「木馬下載器20480」(Win32.TrojDownloader.wmTable.a.20480),這是一個下載者病毒。此病毒文件為muma.exe的可執行文件,但並不局限於該名稱,病毒傳播者也可能給它取別的名字。它會從指定的網址下載一份下載列表,下載並執行列表中的數十種盜號木馬程序。
「破天木馬1851」(Win32.PSWTroj.OnlineGames.nc.18515),該病毒是網絡遊戲《破天一劍》的盜號木馬。病毒運行後會衍生病毒文件至系統目錄下,然後注入遊戲進程,偷去遊戲賬號和密碼等信息,並通過網頁提交的方式發送到木馬種植者手上。
一、「木馬下載器20480」(Win32.TrojDownloader.wmTable.a.20480) 威脅級別:★
此病毒進入系統後,並無釋放文件的行為,它會立即運行自身病毒文件muma.exe,從http://m.*******.cn/wm/這一由木馬種植者指定的網址下載一份名為wm.txt的文本文件。在這個文本文件中,包含了26個盜號木馬程序的最新下載地址。
當讀取了下載列表,病毒就會悄悄建立遠程連接,在用戶無法知曉的情況下,下載列表中的木馬程序,將它們存放於系統盤的%WINDOWS%\avp\目錄下,並立刻把它們激活運行。由於木馬種類眾多,破壞行為也多樣,這就會給用戶的系統安全和虛擬財產帶來無法估計的威脅。
此外需要提及的是,此病毒名稱並不固定,木馬種植者可以給它起名muma.exe,也可以起其它名字。並且,它多為隨其它病毒進入到用戶系統的「幫兇」,如果用戶在自己的電腦中發現它,意味著你的電腦中很可能已經潛入了其它病毒。
二、「破天木馬1851」(Win32.PSWTroj.OnlineGames.nc.18515) 威脅級別:★
病毒進入用戶系統後,會在系統盤中釋放出兩個病毒文件,分別為系統根目錄%WINDOWS%下的SSLDyn.exE和%WINDOWS%\system32\目錄下的SSLDyn.dll。然後,修改註冊表啟動項,將自己的相關數據寫入其中,達到隨系統自動啟動之目的。完成這個步驟後,病毒就將自己的原始文件刪除,這樣,用戶就不容易發現自己電腦裡出現多餘的東西。
如果病毒順利地運行起來,它就會把之前生成的DLL文件注入到系統的桌面進程Explorer.exe,以及其它非系統進程當中,不停的搜索網絡遊戲《破天一劍》的進程。
發現目標後,病毒立即注入其中,監視玩家與遊戲服務器之間的通訊信息,從中過濾用戶的賬號和密碼,得手後以網頁提交的方式發送到木馬種植者指定的網址
http://www.j*****.cn/shijian/tempes/post.asp當中,給用戶造成虛擬財產的損失。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟件進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟件,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
