威金”后臺盜號利用聯(lián)眾漏洞傳播

gao0907

威金”后臺盜號利用聯(lián)眾漏洞傳播
    8月4日，據(jù)江民反病毒中心監(jiān)測數(shù)據(jù)顯示，上周該中心共截獲新病毒18969種，全國共有359761臺計算機感染了病毒，較前一周上升了7.29%。其中盜號類病毒及利用應(yīng)用軟件漏洞傳播的病毒均有小幅上升趨勢，用戶應(yīng)提高警惕。
    值得引起關(guān)注的是，上周監(jiān)測到的“威金”變種bab病毒，該病毒不僅能夠在被感染計算機的后臺監(jiān)視用戶的鍵盤和鼠標(biāo)操作，盜取《黃易群俠傳》、《天堂Ⅱ》、《魔獸世界》等多款網(wǎng)絡(luò)游戲玩家的帳號、密碼等私密信息，同時還能查找并強行關(guān)閉大量安全軟件（無法關(guān)閉江民殺毒軟件KV2008），阻止安全軟件的運行，極大地降低被感染計算機的安全性。
另外上周還監(jiān)測到一個可以利用應(yīng)用軟件漏洞傳播的“代理木馬”變種im病毒，該病毒會內(nèi)嵌在正常網(wǎng)頁中，如果用戶計算機沒有及時升級修補“聯(lián)眾世界”以及“Real Player媒體播放器”相應(yīng)的漏洞補丁，那么當(dāng)用戶使用瀏覽器訪問帶有“代理木馬”變種im的惡意網(wǎng)頁時，就會在當(dāng)前用戶計算機的后臺連接駭客指定站點，下載大量網(wǎng)游木馬、后門等惡意程序并在被感染計算機上自動調(diào)用運行，給用戶帶來嚴(yán)重的損失。
江民反病毒專家建議廣大用戶，一定要選用具備“主動防御”和“自我保護(hù)”功能的殺毒軟件，上網(wǎng)時要開啟江民殺毒軟件的實時監(jiān)控功能，在輸入網(wǎng)上銀行、網(wǎng)絡(luò)游戲等帳號密碼時，可以使用“江民密保”等專業(yè)工具，有效保護(hù)網(wǎng)上銀行、支付平臺、網(wǎng)上證券交易、網(wǎng)絡(luò)游戲等賬號密碼，全面保護(hù)用戶私密信息。同時江民反病毒專家特別指出，江民殺毒軟件KV2008擁有強大的自我保護(hù)技術(shù)，能夠利用驅(qū)動程序在系統(tǒng)最底層提供強大而全面的保護(hù)，該保護(hù)措施阻止了目前所有已知的破壞手段，保證了軟件的順利運行。
     
  Worm/Viking.bab“威金”變種bab是“威金”蠕蟲家族的最新成員之一，采用高級語言編寫，并經(jīng)過添加保護(hù)殼處理。“威金”變種bab是由“威金”病毒主體釋放出來的DLL組件，通過修改注冊表實現(xiàn)蠕蟲開機自動運行。“威金”變種bab運行后，在臨時文件夾下釋放一個驅(qū)動文件并加載運行。啟動“iexplore.exe”進(jìn)程，將惡意代碼注入其中運行，隱藏自身，躲避安全軟件的查殺。查找并強行關(guān)閉大量安全軟件，阻止安全軟件的運行，極大地降低了被感染計算機的安全性。采用HOOK技術(shù)和內(nèi)存截取技術(shù)，在被感染計算機的后臺監(jiān)視用戶的鍵盤和鼠標(biāo)操作，盜取《黃易群俠傳》、《天堂Ⅱ》、《魔獸世界》等多款網(wǎng)絡(luò)游戲玩家的游戲帳號、游戲密碼、身上裝備、背包裝備、角色等級、游戲區(qū)服、計算機名稱等信息，并在被感染計算機的后臺將竊取到的玩家游戲帳號信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點上，造成玩家的游戲帳號、裝備物品、金錢等丟失。
   TrojanDownloader.JS.Agent.im“代理木馬”變種im是“代理木馬”木馬下載器家族的最新成員之一，采用javascript腳本語言編寫，并且經(jīng)過加密處理，利用“聯(lián)眾世界”中某ActiveX控件棧溢出漏洞以及“Real Player媒體播放器”漏洞傳播其它病毒。“代理木馬”變種im一般內(nèi)嵌在正常網(wǎng)頁中，如果用戶計算機沒有及時升級修補“聯(lián)眾世界”以及“Real Player媒體播放器”相應(yīng)的漏洞補丁，那么當(dāng)用戶使用瀏覽器訪問帶有“代理木馬”變種im的惡意網(wǎng)頁時，就會在當(dāng)前用戶計算機的后臺連接駭客指定站點，下載大量惡意程序并在被感染計算機上自動調(diào)用運行。其中，所下載的惡意程序可能為是網(wǎng)游木馬、惡意廣告程序、后門等，給用戶帶來不同程度的損失。