萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> Word塗改液木馬程序惡作劇篡改Word格式

Word塗改液木馬程序惡作劇篡改Word格式

  作者:kaduo

【賽迪網-IT技術報道】“傳奇Ⅲ盜號者65536”(Win32.PSWTroj.OnLineGames.as.65536),該病毒是網絡游戲《傳奇3》的盜號木馬。病毒運行後會修改注冊表生成啟動項,把盜取的賬號信息通過網頁提交的方式發送到木馬種植者手上。

“Word塗改液693269”(Win32.Troj.Sola.693269),這是一個惡作劇木馬程序。它能夠利用AUTO技術進行傳播,運行起來就會搜索電腦中全部的Word文檔,將它們的後綴改為exe。不過,被改了後綴的Word文件並不會遭到破壞,依然可以打開。

一、“傳奇Ⅲ盜號者65536”(Win32.PSWTroj.OnLineGames.as.65536) 威脅級別:★

近來網絡游戲《傳奇3》的盜號木馬有增多的傾向,該游戲玩家需注意帳號安全。本篇預警播報中的病毒就是個《傳奇3》盜號木馬的變種。

病毒進入系統後會釋放出三個文件,分別為%Windows%/system32/目錄下的kcoin32.exe和kcoin32.dll,以及%WINDOWS%/LastGood/system32/drivers/目錄下的cdaudio.sys。其中kcoin32.exe是病毒主文件,它會被寫入注冊表啟動項,使病毒實現開機自啟動。

當病毒運行起來。它會把dll文件注入到系統當中進程中,不斷搜索是否有網絡游戲《傳奇3》,如有則注入其中,通過內存讀取的方式獲得玩家的帳號和密碼,然後通過網頁提交的方式發送到病毒作者指定的網絡地址http://www.*******.cn/cqzhudao/post.asp,給用戶帶來虛擬財產的損失。

二、“WORD塗改液693269”(Win32.Troj.Sola.693269) 威脅級別:★

這個病毒對系統沒有明顯的破壞,它的行為偏向於惡作劇。如果中了該毒,並且用戶系統中有WORD文檔,那麼這些文檔就會被更改後綴名稱。

此毒進入電腦後,會釋放出大量的病毒文件,大部分集中在%WINDOWS%/Fonts/HIDESELF../目錄中。其中對病毒運行起到主要作用的是%WINDOWS%/Fonts/HIDESELF../目錄下的Function.dll,以及%WINDOWS%/Fonts/HIDESELF../solasetup/目錄下的SOLA.BAT。

病毒修改系統注冊中的多項數據,使自己實現開機自啟動。一旦順利運行起來,就會搜索電腦中全部的WORD文檔,把它們的後綴改為了exe。另外,為實現快速傳播,該毒會在所有的磁盤分區下生成文件Autorun.inf和文件夾SOLA,而SOLA文件夾下有一個Function.dll文件和一個SOLA.bat批處理文件。順便一提,這些文件的屬性都是系統隱藏文件。

就毒霸反病毒工程師目前的觀察而言,這個病毒除了將WORD文檔改後綴外,沒有別的惡意行為,並且這些被修改了的WORD文檔依然能夠打開。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟件進行全面監控,防范日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡游戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。

(責任編輯:董建偉)

copyright © 萬盛學電腦網 all rights reserved