• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

由下載者生成器生成的"土著下載者546816"

「QQ幻想盜號者16187」(Win32.PSWTroj.OnlineGames.16187),該病毒是針對網絡遊戲《QQ幻想》的一個盜號木馬。它運行後會衍生病毒文件至系統目錄下,修改註冊表增加啟動項,注入進程偷取遊戲賬號和密碼。

「土著下載者546816」(Win32.Troj.Unknown.b.546816),這是一個木馬下載者。該病毒運行後,會修改註冊表的啟動項,創建病毒服務,以便隨系統自動啟動。它運行後會聯網下載其它病毒程序到用戶的系統中運行。

一、「QQ幻想盜號者16187」(Win32.PSWTroj.OnlineGames.16187) 威脅級別:★

病毒進入用戶系統後,在系統盤裡生成兩個病毒文件,即%WINDOWS%目錄下的MsPrint32D.exe和%WINDOWS%/system32/目錄下的MsPrint32D.dll。只要釋放完文件,病毒就啟動自我刪除程序,把自己的原始文件刪掉,讓用戶難以發現病毒源。

接著,病毒修改註冊表中的資料,使自己實現開機自啟動。當它再一次運行時,就會把之前生成的病毒文件MsPrint32D.dll注入到系統桌面進程Explorer.exe當中,搜索並注入網絡遊戲《QQ幻想》的進程,通過讀取記憶體的方法盜取用戶的賬號信息。

如成功得手,病毒就在用戶無法察覺的情況下建立遠程連接,將偷得的賬號密碼以網頁提交的形式發送到http://www.yum******ojie77521.cn/xintiandiwl/posttma.asp這一由木馬種植者指定的網址,令用戶遭受虛擬財產的損失。

二、「土著下載者546816」(Win32.Troj.Unknown.b.546816) 威脅級別:★★

這是一個由下載者生成器生成的下載者程序。當它出現在用戶電腦中後,會將病毒文件789.exe和cmdno.exe釋放到系統盤的%WINDOWS%/system32/目錄下。然後修改註冊表,將自己的相關資料添加到啟動項中,這樣以後每次用戶啟動電腦時,它都能跟著自動運行起來。其啟動項名稱為relinson,這可作為查找該病毒的一個依據。

當病毒運行後,它創建一個名為Windows_ServerUP1的系統服務,自動連接木馬種植者指定的遠程地址http://www.o***ok365.com/,下載一份病毒地址列表,然後根據列表中的地址下載更多其它病毒到用戶電腦中運行,引起更多無法預計的破壞。

這類用生成器生成的木馬病毒多見於網吧等公共場所中的電腦,因此用戶使用公用電腦時也需提高警惕。建議將金山清理專家等綠色的安全輔助軟體拷貝在USB隨身碟中,隨身攜帶,或者直接配置專門的殺毒USB隨身碟,以便掃瞄公用電腦查殺木馬。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119