浩方对战平台是一款非常火爆的游戏工具,由于提供了VIP账号等方式,许多用户开始付费。而木马也开始盯上了这些财产,浩方盗号木马就可以轻松偷取浩方账号。提醒用户小心提防,建议安装账号保险箱。
另一款伪装下载者病毒可以将自己伪装成浏览器的组件,然后再后台远程下载病毒。
“伪装下载者3584”(Win32.MiniDrop.3584),这是一个下载者木马程序。它运行后,会注册为浏览器帮助对象,侵入explorer.exe、spoolsv.exe等程序中,利用它们的空间运行自己,然后远程下载病毒文件到本机运行。
“浩方盗号木马73728”(Win32.PSWTroj.OnlineGames.oe.73728),此病毒是针对网络游戏平台“浩方”的盗号木马。病毒运行后会注入“浩方”进程,截获用户帐号信息,并把盗得的信息以网页提交的方式发送到木马种植者手上。
一、“伪装下载者3584”(Win32.MiniDrop.3584) 威胁级别:★★
病毒进入电脑系统后,在系统盘的%WINDOWS%\system32\目录下释放出4个病毒文件,它们分别为.exe、.dll、.ini、. ini2后缀的文件。需注意的是,这4个文件采取随机命名,但不论采用怎样的名称,文件名都只有5个字符,这就可以做为辨认它们的一个特征。
同时,病毒修改注册中的相关数据,将自己添加到系统自启动项,实现随windows系统启动而运行之目的。它会注册为浏览器帮助对象,骗取用户的信任,当用户启动资源管理器或IE浏览器时,就会自动加载病毒文件。
病毒运行起来后,会侵入explorer.exe、spoolsv.exe等系统进程中,创建一个rundll32.exe进程,运行之前生成的. dll病毒文件。并且,病毒会定时检查自己的进程是否在运行中,若未运行便重新创建一个病毒进程,以保证自己的犯罪行为能持续进行。
最后,病毒悄悄连接http://www.o3*6*.com这个由木马种植者指定的地址,下载更多其它病毒到用户电脑上运行,给用户的系统安全带来无法估计的威胁。
二、“浩方盗号木马73728”(Win32.PSWTroj.OnlineGames.oe.73728) 威胁级别:★
病毒进入用户电脑后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%目录下的winform.exe和%WINDOWS%\system32\目录下的winform.dll。随后,它修改注册表相关信息,将自己加入启动项,实现开机自动运行之目的。
当顺利地运行起来,病毒就搜索“浩方”对战平台的进程,发现后立即展开消息监视,伺机窃取用户的账号资料,把盗取的账号资料通过网页提交的方式发送木马种植者指定的地址http://www.*****.cn/hf2/post.asp,使用户遭受虚拟财产的损失。
此外需要注意,此病毒具有自我删除功能,当运行完毕后,它会删除自己的原始文件,让用户找不到病毒源。同时,它在作案时会将用户系统中已安装的杀毒软件强行关闭,造成用户电脑系统的安全等级大大降低。