“殺手”假冒殺毒軟件 “蜜賊”偽裝圖片后臺盜號

gao0907

“殺手”假冒殺毒軟件 “蜜賊”偽裝圖片后臺盜號

9月8日消息，上周江民反病毒中心監(jiān)測到，“系統(tǒng)殺手”變種af和“蜜賊”變種e病毒值得引起關(guān)注。
   “系統(tǒng)殺手”變種af病毒，會通過修改注冊表和注冊為系統(tǒng)服務(wù)兩種方式實現(xiàn)木馬開機自動運行，提升自身權(quán)限，強行關(guān)閉某些安全軟件（江民殺毒軟件KV2008不會被關(guān)閉），強行篡改注冊表內(nèi)容，禁止用戶運行安全模式，查找并感染大量.exe文件，導(dǎo)致.exe文件無法正常運行。同時，病毒會與駭客指定的服務(wù)器建立網(wǎng)絡(luò)連接，使駭客遠(yuǎn)程控制被感染計算機，給用戶的個人隱私甚至是商業(yè)機密造成嚴(yán)重威脅。特別值得關(guān)注的是，該病毒還會將自身的圖標(biāo)偽裝成網(wǎng)頁圖標(biāo)，并且修改自身描述為“在線修復(fù)Anti Virus”，誘騙用戶點擊運行，江民反病毒專家特別提醒廣大用戶注意識別。
   另外上周監(jiān)測到的“蜜賊”變種e病毒會將自身圖標(biāo)偽裝成圖片文件圖標(biāo)，誘騙用戶點擊運行。病毒運行后會釋放木馬組件文件，并將其插入到所有用戶級進(jìn)程中加載運行，隱藏自我，防止被查殺。同時病毒會在被感染計算機后臺利用HOOK技術(shù)與內(nèi)存截取技術(shù)，秘密竊取網(wǎng)絡(luò)游戲玩家的賬號、密碼等私密信息，并將其發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器上，給游戲玩家?guī)�來非常大的損失。“蜜賊”變種e還具有強行關(guān)閉某些安全軟件、躲避某些防火墻監(jiān)控的功能（江民殺毒軟件KV2008不會被關(guān)閉），極大地降低了計算機的安全性。
   江民反病毒專家建議廣大用戶，一定要選用具備“主動防御”和“自我保護(hù)”功能的殺毒軟件，上網(wǎng)時要開啟江民殺毒軟件的實時監(jiān)控功能。同時專家特別指出，由于病毒普遍采用了較為先進(jìn)的隱藏技術(shù)，普通的安全工具軟件根本無法查出，因此千萬不要因為已經(jīng)安裝了網(wǎng)上免費的安全工具軟件而掉以輕心，給自己的財產(chǎn)帶來巨大的損失。江民殺毒軟件KV2008具有超強內(nèi)核級自我保護(hù)技術(shù)、反病毒Rootkit/Hook技術(shù)、智能主動防御等眾多領(lǐng)先的計算機反病毒技術(shù)，可有效防御病毒于系統(tǒng)之外。
      
   上周值得關(guān)注的典型病毒：“系統(tǒng)殺手”變種af和“蜜賊”變種e
   Trojan/AntiAV.af“系統(tǒng)殺手”變種af是“系統(tǒng)殺手”木馬家族的最新成員之一，采用VC++編寫。“系統(tǒng)殺手”變種af運行后，在被感染計算機系統(tǒng)的“%SystemRoot%\”目錄下和“%SystemRoot%\system32\”目錄下創(chuàng)建數(shù)個病毒副本，文件名隨機生成。通過修改注冊表和注冊為系統(tǒng)服務(wù)兩種方式實現(xiàn)木馬開機自動運行。提升自身權(quán)限，強行關(guān)閉某些安全軟件，大大地降低了被感染計算機的安全性。強行篡改注冊表內(nèi)容，禁止用戶運行安全模式。循環(huán)監(jiān)測窗口標(biāo)題，一旦發(fā)現(xiàn)用戶打開任務(wù)管理器便將其關(guān)閉。在后臺連接駭客指定的服務(wù)器站點，下載惡意程序并自動調(diào)用運行，給用戶帶來一定程度的危害。與駭客指定的服務(wù)器建立網(wǎng)絡(luò)連接，駭客可通過“系統(tǒng)殺手”變種af遠(yuǎn)程控制被感染的計算機，給用戶的計算機安全和個人隱私，甚至商業(yè)機密造成嚴(yán)重威脅。查找并感染大量*.exe文件，導(dǎo)致*.exe文件無法正常運行，可能會給用戶帶來極大的損失。另外，“系統(tǒng)殺手”變種af還會將自身的圖標(biāo)偽裝成網(wǎng)頁圖標(biāo)，并且修改自身描述為“在線修復(fù)Anti Virus”，誘騙用戶點擊運行，請廣大用戶注意識別。
   TrojanDropper.Crypter.e“蜜賊”變種e是“蜜賊”木馬釋放器家族的最新成員之一，采用高級語言編寫，并經(jīng)過添加保護(hù)殼處理。“蜜賊”變種e將自身圖標(biāo)偽裝成圖片文件的圖標(biāo)，誘騙用戶點擊。“蜜賊”變種e運行后，在被感染計算機系統(tǒng)的“%SystemRoot%\system32\”目錄下釋放病毒文件“kavo.exe”，并將其添加為啟動項，實現(xiàn)木馬開機自動運行。在“%SystemRoot%\system32\”目錄下釋放木馬組件文件“kavo0.dll”，并將其插入到所有用戶級進(jìn)程中加載運行，隱藏自我，防止被查殺。破壞注冊表，導(dǎo)致被感染計算機系統(tǒng)無法顯示隱藏文件。在被感染計算機后臺利用HOOK技術(shù)與內(nèi)存截取技術(shù)，秘密竊取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、倉庫密碼、角色等級等信息，并在后臺將玩家信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器上，致使玩家的游戲賬號、裝備物品、金錢等丟失，給網(wǎng)絡(luò)游戲玩家?guī)�來非常大的損失。另外，“蜜賊”變種e還具有強行關(guān)閉某些安全軟件、躲避某些防火墻監(jiān)控的功能，極大地降低了被感染計算機上的安全性。

情人劫

哈哈。。。好貼快占位子！

笑書神

的確好帖子，推薦加精華