「密碼盜竊器69632」(Win32.PSWTroj.QQPass.zc),這是一個盜竊密碼的木馬程序。該病毒將自己偽裝成記事本程序,暗中截獲用戶在任何密碼框中輸入的數值,從而掌握用戶的賬號密碼等敏感信息。它並不是採取常見的鍵盤記錄,而搜索密碼框類名,然後發送WM_GETTEXT 命令獲取密碼。
「MSN跳蟲55808」(Win32.TrojDownloader.MSNBot.m.55808),這是一個通過MSN進行傳播的木馬程序。它會從指定網址下載完整的木馬程序,並將下載的木馬壓縮後通過MSN來進行傳播。
一、「密碼盜竊器69632」(Win32.PSWTroj.QQPass.zc) 威脅級別:★★
病毒進入系統後,首先會進行偽裝。它搜索出系統盤%WINDOWS%目錄下的記事本程序Notepad.exe,將其更名為Mspad.exe,然後將自己的病毒文件取名為Notepad.exe,釋放到同一目錄下。一起被釋放出來的還有Eudcedit.exe、Freecell.exe、Msscr.exe等文件。
接著,病毒修改系統註冊表,將自己的相關資料寫入啟動項,實現開機自啟動。如果順利運行起來,它就使用 Timer 控件,監視窗口程序的運行,取得所有的窗口標題,判斷其中是否有用於用戶登錄的窗口。如有,則監視登錄窗口的密碼輸入欄,然後利用SendMessage函數命令,獲取這些密碼欄中的資料。
順便提及,病毒作者沒有給此病毒設置判斷外部按鍵事件的功能,它就無法記錄用戶的鍵盤輸入,但作為彌補這一功能的缺失,它一旦成功開始運行就不會停止,直到被清除。由於是對全部的密碼輸入欄下手,包括QQ、MSN在內的許多即時通訊工具和機密文件都會遭受威脅。
二、「MSN跳蟲55808」(Win32.TrojDownloader.MSNBot.m.55808) 威脅級別:★
病毒進入系統後,在系統盤%WINDOWS%/system32/目錄下釋放出病毒文件rmbsvc.exe。隨後,它修改系統註冊表,將自己加入啟動項,實現開機自動運行。
當運行起來,病毒會與木馬種植者指定的遠程伺服器建立通信,當收到「確認攻擊」的返回消息後,就從http://www.n**au.dk/m**ia/這個地址下載msn對話信息到IE瀏覽器的臨時目錄,然後根據對話信息裡的地址,從http://www.stu**egroep***selen.nl/components這個地址下載自己的完整EXE格式程序,隨機命名後存放到%WINDOWS%/Temp/,即IE瀏覽器的臨時目錄下。
接下來,病毒就搜索用戶電腦中的MSN即時通訊工具,讀取用戶的好友列表,將壓縮為ZIP格式的病毒包發送出去,實現更大規模的傳染。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2008年3月6的病毒庫即可查殺以上病毒;如未安裝金山毒霸,可以登錄http://www.duba.net免費下載最新版金山毒霸2008或使用金山毒霸在線殺毒來防止病毒入侵。撥打金山毒霸反病毒急救電話010-82331816,反病毒專家將為您提供幫助。
(