萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 偽裝下載器使殺軟失效下載病毒

偽裝下載器使殺軟失效下載病毒

  1月24日:“偽裝下載器106496”(Win32.Troj.DownLoader.wd.106496),這是一個下載者木馬。它如果發現系統上有殺毒軟件“卡巴斯基”的進程,就會修改系統時間為2000年,使卡巴失效。它會不斷重寫自己在注冊表中的數據、結束大量安全軟件進程,以保證自己隨時處於最佳的“作案狀態”。然後在後台連接指定的地址,下載大量的惡意程序。

  “網游盜號木馬17109”(Win32.Troj.OnlineGames.il.17109),這是一個能盜取系統多個網絡游戲帳號信息的木馬程序。它會關閉殺毒軟件“卡巴斯基”和“瑞星”的監控提示窗口,然後注入目標進程中,執行相關的盜號行為。

  一、“偽裝下載器106496”(Win32.Troj.DownLoader.wd.106496) 威脅級別:★

  病毒進入用戶系統後,在%WINDOWS%sysmte32目錄下釋放出一個冒充系統文件的隱藏病毒文件winscksow.dll,然後立即開始查找系統中是否有殺毒軟件“卡巴斯基”的進程avp.exe,如果發現,它就修改系統時間為2000年,令依賴系統時間進行激活和升級的卡巴失效。

  接著,病毒創建線程,不斷重寫注冊表啟動項重的相關數據,讓自己以後都能隨系統啟動而運行起來。同時它查找系統桌面進程 explorer.exe ,把之前生成的winscksow.dll注入其中利用它的空間來運行自己,從而減少自己被用戶發現的機會。

  病毒運行起來後,會首先查找並強行關閉毒霸、瑞星、麥咖啡、360安全衛士、風雲防火牆等安全軟件的進程,如果能夠順利解決掉安全軟件,病毒便在後台悄悄建立遠程連接,從木馬種植者指定的地址http:/ /m**p.lo**m*ll.cn/vm下載6個惡意程序文件,並將它們以0winecest.exe、1winecest.exe……5winecest.exe這樣的文件名存放到%WINDOWS%目錄下。由於這些惡意程序的功能多樣,因此用戶的系統安全將遭受無法估計的眾多威脅。

  二、“網游盜號木馬17109”(Win32.Troj.OnlineGames.il.17109) 威脅級別:★

  病毒進入電腦系統後,會釋放出兩個病毒文件,分別是%WINDOWS%目錄下的SHAProc.exe和%WINDOWS%system32目錄下的SHAProc.dll。

  接著,病毒迅速創建線程,搜索殺毒軟件“卡巴斯基”和“瑞星”的進程,發現後就緊緊盯住它們的提示窗口。如發現它們試圖彈出窗口,向用戶報告系統中的異常,就搶先將其關閉,使用戶無法知道自己電腦中正在發生的情況。

  與此同時,病毒修改系統注冊表,將自己的相關數據寫入啟動項,實現開機自啟動之目的,接著,就不斷查找網絡游戲《破天一劍》、《風火之旅》、《劍俠情緣2》、《征服》和“浩方”網絡對戰平台的進程。如發現,便注入其中竊取用戶的帳號信息,並悄悄建立遠程連接,把偷得的信息按游戲名稱發送到木馬種植者安排好的不同地址。給用戶造成虛擬財產的損失。
copyright © 萬盛學電腦網 all rights reserved