7melody 2008-2-3 16:17
浏览器插件开始反弹 网游木马“经久不衰”
记者近日从金山毒霸方面获得消息,浏览器恶意插件又有抬头趋势,广告弹射器侵入系统,不断弹出广告,而很多木马就隐藏在广告中。另外一直位列病毒榜第一军团的网游盗号木马也没有放松入侵攻势,望广大网友提高警惕。
“广告弹射器319487”(Win32.Adware.Agent.ks.319487),这是一个广告软件。该病毒运行后,注册为浏览器插件,添加自动启动项,并弹出广告窗口,影响用户正常使用电脑。
“网游盗号木马14452”(Win32.Troj.AgentT.fm.14452),这是一个网游盗号木马。它运行后,会禁用Windows进行自动更新和使用防火墙,然后注入系统桌面进程Explorer.exe中,创建独立线程,在系统中搜索《诛仙》、《完美世界》、《武林外传》、《机战》、《热血传奇》等游戏的进程,注入其中盗取用户的帐号密码等信息。
一、“广告弹射器319487”(Win32.Adware.Agent.ks.319487) 威胁级别:★★
病毒进入电脑后,将BndDrive4.dll、ISMModule4.exe、Uninstall.exe这三个病毒文件释放到系统盘得%Program Files%\ISM\目录下。然后修改注册表,将自己的相关数据写入其中,这样,当系统启动或运行IE时,就自动加载病毒程序。此处要注意的是,为迷惑用户,此病毒会将自己注册为浏览器帮助对象。
当病毒开始运行后,它会在网页上方不时地弹出广告窗口,如果这时用户刚好在点鼠标,就会点中广告,被引导到木马种植者制定的广告网站,为这些站点“贡献”出流量。并且,如果这些站点被病毒挂马,那么用户的系统安全也将受到影响。
辨认此病毒的方法是观察自己的IE浏览器界面,中了该病毒的电脑,IE浏览器的左侧会多出个“Internet Speed Monitor”栏。
二、“网游盗号木马14452”(Win32.Troj.AgentT.fm.14452) 威胁级别:★★
病毒进入系统后,会将四个病毒文件释放到系统盘的%WINDOWS%\Fonts\目录下,分别是swrcgac.exe、swrcgcs.dll、swrcgzc.dll、wirebfw.fon。其中wirebfw.fon为病毒的配置文件,记录了病毒进行破坏时需要使用的参数。
随后,病毒修改系统注册表,实现开机自动运行,并建立监视程序。同时,为防止系统升级后具备对付自己的能力,它还会破坏WINDOWS安全模块的数据,造成系统升级和防火墙失效。
如果顺利解决掉系统的安全模块,病毒就注入系统桌面进程Explorer.exe中,搜索《诛仙》、《完美世界》、《武林外传》、《机战》、《热血传奇》等游戏的进程,注入其中盗取用户的帐号密码等信息。得手后悄悄连接[url]http://3www.c[/url]*0.1*3ns.com/c**q/post.asp这个由木马种植者指定的地址,通过表单形式将盗取的信息提交。
