“竊賊Ld”突破防火墻 “小偷派克斯”偽裝系統(tǒng)藍(lán)屏

gao0907

“竊賊Ld”突破防火墻 “小偷派克斯”偽裝系統(tǒng)藍(lán)屏

    7月21日據(jù)江民反病毒中心監(jiān)測(cè)數(shù)據(jù)顯示，上周該中心共截獲病毒26445種，全國(guó)共有484330臺(tái)計(jì)算機(jī)感染了病毒，較前一周上升了4.01%。
    上周江民反病毒中心監(jiān)測(cè)到一個(gè)可以竊取多種即時(shí)通訊工具聊天記錄及賬號(hào)、密碼的“竊賊Ld”變種ceo病毒。值得關(guān)注的是，該病毒運(yùn)行后，會(huì)循環(huán)檢測(cè)正在運(yùn)行的窗口標(biāo)題，一旦發(fā)現(xiàn)Windows防火墻程序彈出攔截窗口，則立刻模擬鼠標(biāo)，點(diǎn)擊“允許”按鈕，給窗口發(fā)送消息。同時(shí)病毒會(huì)在后臺(tái)秘密收集被感染計(jì)算機(jī)系統(tǒng)的信息，從某些常用的郵件軟件中獲取已保存的用戶名、密碼、郵箱地址等機(jī)密信息，以郵件的形式發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器上，給用戶帶來(lái)嚴(yán)重的損失。
    另外上周還監(jiān)測(cè)到一個(gè)“小偷派克斯”變種aye病毒，該病毒會(huì)釋放“phcpodj0eg11.bmp”圖片，將其替換為系統(tǒng)當(dāng)前的桌面，同時(shí)釋放偽裝成系統(tǒng)藍(lán)屏錯(cuò)誤的屏保程序，使用戶誤以為電腦程序出現(xiàn)問(wèn)題。與此同時(shí)，該病毒還會(huì)連接駭客指定站點(diǎn)，下載網(wǎng)游木馬、廣告程序、后門等惡意程序，給用戶帶來(lái)不同程度的損失。另外，該病毒還實(shí)現(xiàn)了開(kāi)機(jī)自動(dòng)運(yùn)行及安裝完畢后自我刪除的功能。
    江民反病毒專家建議廣大用戶，可以選用具備“主動(dòng)防御”和“自我保護(hù)”功能的殺毒軟件，上網(wǎng)時(shí)一定要開(kāi)啟江民殺毒軟件的實(shí)時(shí)監(jiān)控功能，在輸入網(wǎng)上銀行、網(wǎng)絡(luò)游戲等帳號(hào)密碼時(shí)，可以使用“江民密保”等專業(yè)工具，有效保護(hù)網(wǎng)上銀行、支付平臺(tái)、網(wǎng)上證券交易、網(wǎng)絡(luò)游戲等賬號(hào)密碼，全面保護(hù)用戶私密信息。
      
    上周值得關(guān)注的典型病毒：“竊賊Ld”變種ceo和“小偷派克斯”變種aye

   Trojan/PSW.LdPinch.ceo“竊賊Ld”變種ceo是“竊賊Ld”木馬家族的最新成員之一，采用高級(jí)語(yǔ)言編寫(xiě)，并經(jīng)過(guò)添加保護(hù)殼處理。“竊賊Ld”變種ceo運(yùn)行后，循環(huán)檢測(cè)正在運(yùn)行的窗口標(biāo)題，一旦發(fā)現(xiàn)某些安全軟件或者是Windows防火墻程序彈出攔截窗口，則立刻模擬鼠標(biāo)，點(diǎn)擊“允許”按鈕，給窗口發(fā)送消息。在后臺(tái)秘密收集被感染計(jì)算機(jī)系統(tǒng)的信息（包括硬盤的可用空間、用戶名、計(jì)算機(jī)名、操作系統(tǒng)版本號(hào)、計(jì)算機(jī)安裝的程序等）。查找MirandaIM軟件（如果被感染計(jì)算機(jī)上已經(jīng)安裝）的數(shù)據(jù)文件，可能會(huì)竊取用戶的QQ，ICQ，MSN，Yahoo等即時(shí)通訊工具的聊天記錄甚至賬號(hào)、密碼等私密信息。查找某些常用的FTP軟件，獲取文件中保存的用戶賬號(hào)、密碼等信息；從某些常用的郵件軟件中獲取已保存的用戶名、密碼、郵箱地址等機(jī)密信息，以郵件的形式發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器上，給用戶帶來(lái)不同程度損失。
    Trojan/Pakes.aye“小偷派克斯”變種aye是“小偷派克斯”木馬家族的最新成員之一，采用VC++編寫(xiě)，并經(jīng)過(guò)添加保護(hù)殼處理。“小偷派克斯”變種aye運(yùn)行后，自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\”目錄下并重新命名為“l(fā)phcpodj0eg11.exe”。將自身添加為啟動(dòng)項(xiàng)，實(shí)現(xiàn)木馬開(kāi)機(jī)自動(dòng)運(yùn)行。在“%SystemRoot%\system32\”目錄下釋放圖片“phcpodj0eg11.bmp”并替換系統(tǒng)的當(dāng)前桌面。在相同目錄下釋放屏保程序“blphcpodj0eg11.scr”并運(yùn)行，該屏保偽裝成系統(tǒng)的藍(lán)屏錯(cuò)誤。連接駭客指定站點(diǎn)，下載惡意程序，所下載的惡意程序可能包含網(wǎng)游木馬、廣告程序、后門等，給用戶帶來(lái)不同程度的損失。另外，“小偷派克斯”變種aye安裝完畢后會(huì)自我刪除。