【賽迪網-IT技術報道】「假保安詐騙木馬29632」(Win32.Troj.Update.a.29632),這是個下載器程序。它會從指定的網站下載一個偽裝成安全軟體的間諜工具到本地,欺騙用戶說電腦上有異常,要求購買所謂的「正版軟體」進行修復,達到騙取錢財的目的。
「魔獸地獄烈焰盜號者」(PE.Win32.PSWTroj.OnLineGames.90112),這是一個針對網游《魔獸世界》盜號木馬程序。它會關閉殺毒軟體卡巴斯基的進程,然後盜取電腦上網絡遊戲《魔獸世界》的賬號信息。為阻止用戶查殺,它還注入系統關鍵進程中運行,造成直接關閉進程時系統運行可能出現異常。
一、「假保安詐騙木馬29632」(Win32.Troj.Update.a.29632) 威脅級別:★★
安裝安全軟體當然是為了保護電腦資料的安全,但如果你電腦上的安全軟體不但無法保護你的電腦,還對你坑蒙拐騙,你該怎麼辦呢?昨天毒霸反病毒工程師就處理了這樣一個「安全軟體」。
這個「安全軟體」是利用一個專門的下載器進行傳播,它的下載器會通過與其它軟體捆綁、流氓式安裝等方式進入用戶電腦。運行後會在%WINDOWS%目錄下釋放出下載器主文件xpupdate.exe,以及在%Programfiles%目錄下生成多個其它病毒文件。
接著,該下載器開始收集用戶的系統信息,並以指定格式發送至病毒作者安排的地址http://dow***ad.M****reAlarm.com/madownload.php,進行分析。然後根據伺服器反饋的信息下載間諜軟體,以MalwareAlarm.exe的名稱放到系統盤的%Programfiles%/MalwareAlarm/目錄下。
當修改註冊表、實現隨系統自啟動後,這個間諜軟體就會彈出一個虛假的提示消息,顯示出「您的電腦系統中存在嚴重異常,請立即購買本產品正式版進行修復!」之類讓用戶感到恐慌的窗口。讓人在不知所措中匆忙按照它的提示匯款、轉賬,達到騙取錢財的目的。如果說盜號木馬是頂著用戶的罵聲作案,那這種假冒的安全軟體則完全是利用電腦用戶對安全軟體的信任感來進行訛詐,十分可惡。
這類木馬已經不是第一次出現,電腦用戶們如果發現自己電腦中突然有莫名其妙的安全提示,一定要提高警惕,很可能你遭遇的就是這種騙子。另外,在選擇安全軟體時,也要像購買普通商品那樣,選擇形象、口碑都好的品牌,避免遭遇這些「不良廠商」。
二、「魔獸地獄烈焰盜號者」(PE.Win32.PSWTroj.OnLineGames.90112) 威脅級別:★★
病毒進入電腦後,立即修改%windows%目錄下的系統文件win.ini。別看這個文件不起眼,它在系統中是負責配置Windows開機程序、警告聲音、鍵盤響應的速度等屬性的,對它進行修改,會有利於病毒下一步的破壞活動。
同時,病毒釋放出病毒文件msoscqit00.dll,將它寫入系統註冊表,實現開機自啟動。搜索並嘗試關閉殺毒軟體卡巴斯基的進程,然後將該文件注入系統進程services.exe中,用搜索進程和枚舉窗口名的方式尋找《魔獸世界》的進程。一旦發現目標,病毒就會通過記憶體讀寫的方式竊取玩家的賬號信息,並將其發送到木馬作者指定的多個遠程伺服器。
從注入services.exe運行,可看出病毒的狡猾。這個文件用於管理啟動和停止服務,是微軟Windows操作系統必不可少的一部分,如果用戶試圖用直接中止該進程的方式關閉病毒,電腦可能就會出現異常。看來,病毒是希望綁架services.exe ,如「地獄烈焰」般一損俱損,阻止用戶查殺。不過,只要已經安裝毒霸,就可免去擔心了。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(