病毒突破主动防御 木马伪装成Skype程序
发布时间:2022-09-27 12:53:23 所属栏目:安全 来源:
导读: 主动防御功能曾是很多安全厂商的得意手笔,可病毒也在与时俱进。最近一种“破防盗号者98396”病毒就可以突破主动防御功能。当然,木马方面除了采取更顽固的存活方式外,在伪装上也下足了功夫。木马下载
|
主动防御功能曾是很多安全厂商的得意手笔,可病毒也在与时俱进。最近一种“破防盗号者98396”病毒就可以突破主动防御功能。当然,木马方面除了采取更顽固的存活方式外,在伪装上也下足了功夫。木马下载者能够变身Skype程序,让用户难分真假。 “破防盗号者98396”(Win32.Troj.OnlineGamesT.nr.98396),这是一个盗取多款网游密码的盗号木马。该木马会突破杀毒软件的主动防御,关闭杀毒软件进程。注入游戏进程,从中读取游戏玩家的帐号信息,然后发送给木马种植者。 “木马下载者959488”(Win32.Troj.DownLoaderT.xy.959488),该木马伪装成Skype的安装程序,运行后,复制自身到系统文件夹,在注册表中添加Browser Helper Objects(BHO)项,在系统启动后随Exporer.exe启动,通过DLL注入到Explorer.exe,在网络可用时下载大量木马病毒,下载的木马病毒等会破坏用户系统并盗取信息。 一、“破防盗号者98396”(Win32.Troj.OnlineGamesT.nr.98396) 威胁级别:★★ 病毒进入用户的电脑系统后,在系统盘中释放出两个病毒文件,分别为%WINDOWS%\system32\下的naijoad.dll和%WINDOWS%\system32\drivers\目录下的msacpe.sys。接着,它修改注册表中的相关数据,使自己可以在开机后自动运行。 病毒释放出的文件各有分工。其中,Msacpe.sys在运行后会查找目前电脑上安装的杀毒软件,并帮助病毒突破杀毒软件的主动防御,而naijoad.dll被注入到系统的每个进程,搜索作案对象。它的作案对象是《奇迹世界》,《魔兽世界》,《大话西游》等多款网络游戏。 当病毒运行起来后,它就会读取配置文件,并根据配置文件中的信息不断注入进程,搜索并盗取游戏的帐号,最后发送盗取的信息到木马种植者指定网站,给游戏玩家造成虚拟财产的损失。 二、“木马下载者959488”(Win32.Troj.DownLoaderT.xy.959488) 威胁级别:★ 病毒进入电脑系统后,会在系统盘中释放出4个病毒文件,分别是%WINDOWS%目录下的akbsertts.dll,以及%WINDOWS%\system32\目录下的esjok.ini、skype.exe、xjlclzvskvwde.dll。随后,它修改注册表中的相关数据,将自己设置为随系统启动而启动。 该木马的主程序文件名skype.exe与Skype的程序同名,而且它在注册表中添加自己时,是伪装成Browser Helper Objects(BHO,简单地说,是IE浏览器的一种第三方协议技术)项。这样,就具备一定的迷惑性,容易骗过用户。 当它随系统桌面进程Exporer.exe启动后,就会注入到Explorer.exe主动防御软件,利用该进程空间运行自己,以避免被用户发现。然后就在网络可用时连接木马种植者指定的远程服务器**k.cn,下载大量其它病毒,而这些病毒会破坏用户系统,并盗取敏感信息,给用户造成无法估计的损失。 (编辑:航空爱好网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐