• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

貪婪「鍵盤記錄員」記錄用戶輸入全部信息

【賽迪網-IT技術報道】「網絡小廣告24391」(Win32.Adware.Agent.LL.24391),這是一個廣告木馬程序。它會在後台擅自利用IE瀏覽器登錄廣告網頁,浪費用戶的網絡流量,並損耗系統資源。

「鍵盤記錄員108627」(Win32.PSWTroj.OnLineGames.xn.108627),這個病毒是一個盜號木馬程序。它利用鍵盤記錄的方法,記錄下用戶輸入的全部信息,進行加密後發送給病毒作者。病毒作者通過一定技術手段,就可以從這些信息中篩選出用戶的各類賬號和密碼。

一、「網絡小廣告24391」(Win32.Adware.Agent.LL.24391) 威脅級別:★

許多計算機用戶在上網的時候可能都遇到過廣告木馬的騷擾:在你瀏覽網頁時,突然彈出一個別的窗口,全是廣告宣傳內容。這些頁面除了干擾大家的正常上網,還會嚴重浪費用戶的網絡流量。

本篇播報中的病毒便是一個廣告木馬程序。它主要利用網頁掛馬和借助下載器的方式進行傳播。病毒運行原理很簡單,它在進入用戶系統後,複製自身的文件autoc0n.exe到系統盤的%WINDOWS%/system32%/目錄下,並將其屬性設置為隱藏,讓用戶無法察覺到系統中多出了不明文件。然後,修改註冊表,將自己與IE瀏覽器捆綁到一起,實現開機自啟動。

當順利啟動後,病毒就會在後台擅自運行IE瀏覽器,登錄到病毒作者指定的廣告頁面http://www.jl.*****net.com,迫使用戶瀏覽廣告。經毒霸反病毒工程師檢查,發現該廣告網站佔用資料流量嚴重,這對於網絡流量費較貴的用戶來說,這就無異搶錢。並且,由於廣告網頁的安全性較差,容易被其它病毒掛馬,這也就增加了用戶系統的危險係數。

二、「鍵盤記錄員108627」(Win32.PSWTroj.OnLineGames.xn.108627) 威脅級別:★★

此篇預警播報中的病毒,是一個非常貪心的木馬程序。它不僅僅是竊取網絡遊戲的賬號,任何輸入電腦的資料都會被它悉數盜走。

木馬在系統中釋放完文件後,首先會修改SSDT(系統服務調度表),從而解除各種具有主動防禦功能的殺毒軟體的武裝。然後,它修改註冊表中的相關資料,把病毒文件屬性設置為「系統」、「隱藏」和「只讀」,並將顯示模式鎖定為隱藏,讓用戶無法發現病毒文件。

接下來,病毒啟動監視程序,監視用戶的鼠標、鍵盤操作,從而記錄下用戶操作電腦時輸入的各種信息。並每隔一段時間,就將這些偷到的信息加密,以郵件的形式通過SMTP通信協議和網頁收信空間發送給木馬作者。所謂的SMTP,是一種可以免除驗證的通訊方式,能為WINDOWS系統用戶之間的通訊提供便利,但也因此而被一些病毒作者所利用。

由於是採取完整的鍵盤記錄,用戶在中毒電腦上輸入的所有信息都會被病毒作者所掌握。他只需經過簡單的分析和篩選,便可從中找到用戶輸入的各種賬號和密碼,甚至可以掌握用戶的個人隱私。

習慣手動查殺的用戶,請留意病毒釋放出的以下文件,分別為%WINDOWS%/system32/目錄下的mmvo.exe和mmvo0.dll,以及系統臨時目錄%Temp%中的一個隨機命名的.dll格式文件。一定要將它們清除,系統才可恢復正常。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119