金山病毒预警:谨防广告下载器与热血盗号者
| 作者: | 来源: | [收藏到E起摘] |
【eNet硅谷动力消息】"广告下载器36864"(Win32.Hack.Agent.36864)这是一个读取指定的网址,从里面获取下载地址下载其它的恶意软件在客户计算机上运行并不定时的弹出广告窗口。 "热血盗号者"(Win32.PSWTroj.JHOnline.139264)这是一个网络游戏"热血江湖"的盗号木马.
一、"广告下载器36864"(Win32.Hack.Agent.36864) 威胁级别:★
1.获取客户计算机上"C:\"的卷序列号,与病毒指定的字符串进行某算法,计算出一字符串A。(文件名8位)
2.病毒通过字符串A进行某算法,计算出字符串B,追加后缀名为.exe。(文件名8位)
3.病毒通过字符串B进行某算法,计算出字符串C,追加后缀名为.dll。(文件名8位)
4.病毒文件会判断自身是否已经注入到 winlogon.exe 和 explorer.exe 两个进程。
5.病毒会创建随机的系统服务,该服务名与病毒文件名的算法相同,名字长度为8位。
二、"热血盗号者"(Win32.PSWTroj.JHOnline.139264) 威胁级别:★
1.病毒运行后会衍生病毒文件至系统目录下.运行后把DLL加载到进程当中,通过读取内存的方式盗取用户的游戏账号和密码等相关资料。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
一、"广告下载器36864"(Win32.Hack.Agent.36864) 威胁级别:★
1.获取客户计算机上"C:\"的卷序列号,与病毒指定的字符串进行某算法,计算出一字符串A。(文件名8位)
2.病毒通过字符串A进行某算法,计算出字符串B,追加后缀名为.exe。(文件名8位)
3.病毒通过字符串B进行某算法,计算出字符串C,追加后缀名为.dll。(文件名8位)
4.病毒文件会判断自身是否已经注入到 winlogon.exe 和 explorer.exe 两个进程。
5.病毒会创建随机的系统服务,该服务名与病毒文件名的算法相同,名字长度为8位。
二、"热血盗号者"(Win32.PSWTroj.JHOnline.139264) 威胁级别:★
1.病毒运行后会衍生病毒文件至系统目录下.运行后把DLL加载到进程当中,通过读取内存的方式盗取用户的游戏账号和密码等相关资料。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
【责任编辑 丁宏波】
相关文章
 |
人物访谈 |  |
产经评论 | |
