|
|
“全屏广告下载器90112”(Win32.TrojDownloader.AutoRun.90112),这是一个有广告功能的木马下载器。它会下载其它木马文件,并根据远程服务器的指令,弹出指定的广告网页。
“华夏Ⅱ盗号器110627”(Win32.Troj.OnLineGames.wi.110627),该病毒是网络游戏《华夏Ⅱonline》的盗号木马。病毒运行后会修改注册表生成启动项,盗取游戏账号信息,并通过网页提交的方式发送到木马种植者手上。
一、“全屏广告下载器90112”(Win32.TrojDownloader.AutoRun.90112)威胁级别:★
该毒最明显的症状是令IE浏览器全屏弹出广告网页,严重干扰用户的正常工作。同时,它所下载的木马文件,可能会带来无法估计的破坏。
病毒进入电脑后,就把自己的文件smss.exe和eps.vbs释放到%WINDOWS%\\Tasks\\目录下,并将自己加入注册表启动项实现开机自启动。同时,它会破坏系统中的HOST数据,解除系统的网络封锁,以便自己能够自由连接指定的远程服务器。
病毒连接指定的地址http://a***an.3**2.org ,接收病毒作者安排好的指令,根据指令中的地址弹出广告网页。由于是全屏显示,会严重影响用户的正常使用。并且,病毒还会下载一些其它木马文件。根据病毒作者安排的不同,这些文件会随时变化。毒霸反病毒工程师猜测,它们可能会是远程控制木马和盗号木马。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-t ... un-90112-50824.html
二、“华夏Ⅱ盗号器110627”(Win32.Troj.OnLineGames.wi.110627)威胁级别:★
这个盗号木马的目标是网络游戏《华夏Ⅱonline》,它进入电脑、释放完文件后,就会修改注册表启动项,把自己的数据写入其中,实现开机自启动。
如果可以成功运行起来,病毒就能注入系统桌面进程,实现隐蔽运行。并进一步搜寻和注入《华夏Ⅱonline》的进程。读取用户输入的帐号和密码信息,并以网页提交的方式发送到病毒作者指定的地址http://www.*****99.cn/fuckmanhx/post.asp,令用户遭受虚拟财产的损失。
顺便一提,该毒释放出的文件只有一个hhrdxd.dll,它会被隐藏在%WINDOWS%\\system32\\下。 |
|
发表于 2008-7-23 11:13:51