• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

病毒死纏爛打 修煉初級反殺毒軟體能力

「熱血盜號木馬69632」(Win32.Troj.OnlineGames.i.69632),這是一個針對網絡遊戲《熱血江湖》的盜號木馬。它可以通過模擬鍵盤點擊的方式,使部分殺毒軟體的監控程序同意木馬的非法操作。病毒註冊為系統組件實現開機自啟動。通過讀取遊戲記憶體空間的方式盜取遊戲賬號。會檢測自身的註冊表項防止被用戶更改。

「網游盜號木馬151552」(Win32.Troj.OnlineGamesT.ky.151552),這是一個會盜取多個網絡遊戲賬號信息的木馬程序。它通過創建註冊表啟動項開機自啟動,然後創建線程關閉「卡巴斯基」和「瑞星」的相關監控提示窗口,最後將 Dll 文件注入的遊戲進程執行盜號行為。

一、「熱血盜號木馬69632」(Win32.Troj.OnlineGames.i.69632) 威脅級別:★★

對於那些瞄準網游世界中虛擬財產的盜號木馬程序來說,殺毒軟體是它們「錢途」上最大的障礙。因此已經有越來越多的盜號木馬被賦予了對抗殺毒軟體的基本功能。例如此次這個木馬,就是無數具備「初級反殺軟能力」的木馬中的一個。

病毒將病毒文件rxdoor0.dll釋放到%WINDOWS% /system32/目錄下,並篡改系統註冊表的啟動項,將自己設置為隨系統自動運行。並發出模擬用戶點擊確定按鈕的命令,使大部分殺毒軟體的註冊表監控程序同意木馬的非法操作。當它運行起來,就搜索電腦上是否有網絡遊戲《熱血江湖》的進程。如果檢測到有,則讀取遊戲的記憶體,在其中找到用戶的賬號密碼等信息,然後上傳到木馬種植者指定的網頁http://www.we**8.org/ok***d/rx/。

為對抗殺軟的查殺,這個病毒還採用了「死纏爛打」的策略。當它在用戶系統中隱藏好後,會創建的一個線程,每隔一段時間就對自身添加的註冊表項進行一次檢測。如果發現其中的相關資料被用戶或殺毒軟體刪除,就再次寫入。只要它的病毒源不被發現,無論殺軟怎樣修復註冊表,病毒都會很快重新奪回「陣地」。

二、「網游盜號木馬151552」(Win32.Troj.OnlineGamesT.ky.151552) 威脅級別:★

殺毒軟體保護系統不受入侵的一個方法是監視註冊表,當發現註冊表發生修改時,就詢問用戶是否允許修改,以判斷修改註冊表的是用戶還是病毒。但不少木馬病毒作者也早已明白這個道理,因此他們會採取模擬用戶允許的方式來對付殺軟。

此病毒進入用戶系統後創建線程,先釋放自己的主文件SHAProc.exe到系統盤的%WINDOWS%目錄下,然後查找殺毒軟體「卡巴斯基」和「瑞星」的註冊表監控提示窗口,如找到卡巴斯基的,就模擬用戶鼠標信號點擊信號,操作點擊「允許」按鈕。如找到瑞星的,則直接發送系統消息將提示窗口關閉。

當殺毒軟體的提示窗口被解決掉,用戶自然也就無法獲知自己系統中的異常情況了。病毒有足夠的時間注入系統桌面進程,在其中搜索《破天一劍》、《風火之旅》、《驚天動地》等多款網絡遊戲,然後展開全局監視,盜取賬號和密碼,發到http:/ /www.d**910.com/pt**333這一由木馬種植者指定的地址,給用戶造成虛擬財產的損失。

除主文件SHAProc.exe外,病毒還會在%WINDOWS%/system32/目錄下釋放出一個病毒文件SHAProc.dll,該文件用於注入進程執行盜號行為。習慣手動查殺的用戶只需找到它和SHAProc.exe,將它們側底刪除,並修正註冊表中的病毒主文件相關資料,就可恢復系統正常。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119