“窃听木马184320”(Win32.Troj.Agent.184320),这是一个黑客木马。该木马会修注册表,添加自己的监视程序。系统启动时,它着随Exlporer.exe启动,然后利用监视程序拦截用户访问网络时输入的敏感数据。
“QQ盗号木马120312”(Win32.PSWTroj.QQShou.dt.120312),该病毒是针对QQ即时聊天工具的一个盗号木马。该病毒通过读取内存盗取用户的账号信息,并连同被盗QQ号的QQ等级、Q币等信息一起发给木马种植者。
一、“窃听木马184320”(Win32.Troj.Agent.184320) 威胁级别:★★
病毒进入用户电脑系统后,在%WINDOWS%\system32\目录下释放出病毒文件ro.dll,然后修改注册表,将自己的相关数据写入其中,实现开机自启动之目的。
一旦成功地随系统运行起来,病毒就会展开全局监视程序,过滤用户上网时输入的敏感数据,比如看上去很像账号、密码、机密资料等内容的数据。然后在用户无法知晓的情况下建立远程连接,将这些偷来的敏感数据发送给收集者。
病毒作者为了保证偷来的数据能传到自己的手中,设定了近20个的远程服务器地址,资深用户如果使用工具查看,会被长长的地址栏所震惊。
二、“QQ盗号木马120312”(Win32.PSWTroj.QQShou.dt.120312) 威胁级别:★
病毒进入系统后,在系统盘的%Program Files%\Internet Explorer\Connection Wizard\目录下释放出病毒文件isignup.dll和isignup.sys ,然后修改注册表,把自己的相关信息写入启动项,实现随系统启动而运行起来之目的。
病毒运行后把之前生成的isignup.sys病毒文件注入到非系统进程当中,搜索QQ即时聊天软件的进程,发现后注入其中,通过读取内存盗取用户的账号信息。
如果顺利得手,病毒就悄悄建立远程连接,将用户QQ的Q币金额,等级相关的信息连同账号密码一并发送到木马种植者的邮箱中。
当运行完成后,病毒文件就生成一个 _xiaren.bat文件,删除自己的原始文件,使用户无法找到病毒源。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
