一、“灰鸽子变种”(Backdoor/Win32.Hupigon.cmtp)
威胁级别:★★★★
该病毒为灰鸽子变种,病毒运行后复制自身到系统目录,重命名,并删除自身。创建服务,以服务的方式达到随机启动的目的。连接网络下载远程控制端IP地址,主动尝试上线。上线成功后,远程控制端能够对用户机器进行键盘记录,屏幕监控,摄像头抓图,文件操作,进程操作等远程控制。
二、“游戏窃取器”(Trojan/Win32.Win32.OnLineGames.bnjy[Stealer])
威胁级别:★★★★
该病毒文件为天龙八部游戏盗号木马,病毒运行后枚举屏幕上所有的顶层窗口,遍历进程查找TLBBDownload.bin进程,找到之后强行结束该进程,枚举注册表缓存信息键值下是否有"\Launch.bi",如果找到该键值则将%Systme32%目录下的LPK.DLL文件拷贝一份到游戏目录下命名为woool.dll、gametl.dll,如果注册表找不到天龙八部游戏关键键值,则创建互斥体"ctlasdfgh",遍历进程找到"avp.exe"、"RavMonD.exe",找到后创建注册表服务衍生tl.dll到%TEMP%临时目录下,调用rundll32.exe加载衍生的病毒DLL文件,如果找到以上2个安全软件进程,则衍生随机病毒名文件到临时目录下,并将文件属性设置为隐藏不可见,动态加载衍生的随机病毒DLL文件,调用病毒DLL文件的Hookon模块,试图将病毒DLL注入到所有进程中,设置消息钩子拦截鼠标键盘消息截取游戏账号信息,将截取到的游戏账号及密码以URL方式发送到作者指定的地址中。
安天反病毒工程师建议
1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新,如未安装安天防线请点击此处(http://www.antiyfx.com)免费下载最新版安天防线来防止病毒入侵。 |
