金山每日病毒预警最终幻想盗号者 -pc6资讯

您的位置：首页 → 网络冲浪 → 安全资讯 → 金山每日病毒预警最终幻想盗号者

金山每日病毒预警最终幻想盗号者 时间：2008/12/2 21:20:00来源：本站整理作者：我要评论(0)

金山每日病毒预警最终幻想盗号者

“局域网监视器5120”(Win32.Erone.a.5120)，这是一个感染型的后门程序。它会扫描本地磁盘的文件进行感染，同时会枚举局域网内资源，通过感染局域网内共享文件进行传播。它会打开端口监听，在后台执行黑客命令。

　　“最终幻想盗号者16384”(Win32.Troj.Agent.co.16384)，这个一个盗号木马程序的组成部分。它的目标是网络游戏《最终幻想》的帐号信息。它会注入到系统进程中运行，以便隐蔽自己。

　　一、“局域网监视器5120”(Win32.Erone.a.5120) 威胁级别：★★

　　此木马程序的感染能力较强，且具有针对局域网的感染功能。毒霸反病毒工程师认为它的目的是盗窃企业用户的商业数据，或者制造用于发起网络攻击的肉鸡。

　　病毒进入电脑后，把自身drone.exe拷贝到系统目录%windows%system32中，并注册一个名为drone的服务启动项，实现开机自启动。

　　然后，它开启一个线程，循环从C:盘到Z:盘查找文件，感染除windows、winnt、progam files外，所有目录中的文件，比如.exe、.ocx、.scr等格式文件。只要用户复制这些文件到别的电脑上，病毒就可以实现传播。同时，病毒程序不停的枚举局域网内的机器，利用共享文件的安全漏洞来感染它们的文件，从而实现在局域网内的传播。

　　最后，病毒程序打开一个线程，在30467端口上监听，连接病毒作者(黑客)的服务器。黑客利用这个后门，就可以随时自由浏览用户的电脑，并任意控制系统。由于此木马是通过后台开启cmd执行命令，因此较隐蔽。

　　已安装毒霸的电脑用户，可以不必担心安全。没安装毒霸的用户，尤其是局域网用户，请注意检查自己系统中的共享文件夹，最好设置较复杂的密码，避免被该毒交叉感染。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-erone-5120-50831.html

　　二、“最终幻想盗号者16384”(Win32.Troj.Agent.co.16384) 威胁级别：★

　　此毒是一个盗号木马的组成模块之一。它的任务是执行盗号。

　　完整的木马进入用户电脑后，会拷贝该模块的文件wzcsvbxm.dll到%windows%system32目录中，并将其注册为共享服务启动。服务添加至Svchost.exe -k netsvcs共享服务组里，与系统文件进程Svnhost.exe进程一同启动。

　　服务名称为wuauserv，为迷惑用户，病毒会把自己描述为WINDOWS系统的更新程序，并威胁用户，称如果关闭此进程会导致系统异常。十分狡猾。

　　当成功运行起来，该毒就查找游戏《最终幻想》的进程pol.exe，发现后进一步注入游戏模块polcore.dll，盗取其中有关游戏账号和密码的数据。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-co-16384-50832.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年7月26的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

文章评论

查看所有0条评论>>

热门文章 设置高强度密码技巧之