注冊表也慘遭RPCSS毒手

gao0907

注冊表也慘遭RPCSS毒手
Win32/Infectrpcss.a“RPCSS毒手”變種a是“RPCSS毒手”木馬家族中的最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL功能組件，一般會被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系統(tǒng)進程以及幾乎所有用戶級權(quán)限的進程中加載運行，并在被感染計算機系統(tǒng)的后臺執(zhí)行惡意操作，隱藏自我，防止被用戶發(fā)現(xiàn)、被安全軟件查殺。“RPCSS毒手”變種a運行后，會自我復(fù)制到被感染計算機系統(tǒng)的“%SystemRoot%\system32\”目錄下，重新命名為“csrss.dll”，并釋放病毒組件“sh01008.dll”到“%SystemRoot%\system32\”目錄下。“RPCSS毒手”變種a是一個專門盜取“完美世界Online”、“誅仙Online”等網(wǎng)絡(luò)游戲會員賬號的木馬程序，會在被感染計算機的后臺秘密監(jiān)視用戶系統(tǒng)中所運行著的所有應(yīng)用程序窗口標題，然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息，并在后臺將竊取到的玩家機密信息發(fā)送到駭客指定的遠程服務(wù)器站點上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家造成不同程度的損失。同時，“RPCSS毒手”變種a還具有竊取玩家游戲賬號密碼保護的功能。因此，當游戲玩家發(fā)現(xiàn)自己的游戲賬號被盜時，千萬不要在當前被感染計算機上登陸該網(wǎng)絡(luò)游戲的官方網(wǎng)站去找回游戲密碼，否則會連同密碼保護資料一同被駭客所盜取，給游戲玩家造成更加嚴重的損失。“RPCSS毒手”變種a還會利用域名映像劫持技術(shù)在被感染計算機的后臺強行篡改系統(tǒng)Hosts文件，屏蔽某些網(wǎng)絡(luò)游戲的官方站點，從而阻止了用戶對這些網(wǎng)絡(luò)游戲網(wǎng)站的訪問，達到了用戶在賬號失竊后無法立即取回密碼的目的。“RPCSS毒手”變種a還會利用進程守護技術(shù)來實現(xiàn)對自我的保護。該木馬通過替換系統(tǒng)文件“rpcss.dll”的方式來實現(xiàn)開機后自動運行。如果安全軟件直接查殺掉被木馬替換的“rpcss.dll”文件的話，將會導(dǎo)致被感染計算機出現(xiàn)無法連接網(wǎng)絡(luò)、系統(tǒng)復(fù)制（粘貼）功能失效、桌面程序“explorer.exe”啟動緩慢等異常現(xiàn)象，嚴重地影響了用戶對計算機系統(tǒng)的正常使用。

Trojan/Regrun.fg“注冊表蛀蟲”變種fg是“注冊表蛀蟲”木馬家族中的最新成員之一，采用“Borland Delphi 6.0 - 7.0”編寫，并且經(jīng)過加殼保護處理。“注冊表蛀蟲”變種fg運行后，會自我復(fù)制到被感染計算機系統(tǒng)的“%SystemRoot%\”目錄下，重新命名為“server.exe”，將創(chuàng)建時間修改為系統(tǒng)安裝日期，并將該文件與原文件設(shè)置為系統(tǒng)、隱藏等屬性。強行篡改注冊表相關(guān)鍵值，對被感染計算機系統(tǒng)中的“顯示系統(tǒng)隱藏文件”、“安全模式”、“系統(tǒng)還原”等功能進行破壞或關(guān)閉，從不同程度上干擾了被感染計算機系統(tǒng)的正常運行。“注冊表蛀蟲”變種fg運行時，會釋放惡意DLL組件（KV2009檢測為“Worm/AutoRun.bsv”）至內(nèi)存指定區(qū)域中，隨后強行關(guān)閉桌面進程“explorer.exe”，運行自身的副本后再將釋放的DLL病毒文件注入到新啟動的“explorer.exe”進程之中加載運行。在后臺嘗試連接駭客指定的遠程站點“one-dream.g**p.net”，并將竊取到的用戶私密信息發(fā)送到其中，使得被感染計算機用戶的個人隱私受到了不同程度的侵害。另外，“注冊表蛀蟲”變種fg會通過在系統(tǒng)注冊表啟動項和其它項目中添加鍵值的方式來實現(xiàn)木馬的開機自啟動。
針對以上病毒，江民反病毒中心建議廣大電腦用戶：
    1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機。
    2、江民KV網(wǎng)絡(luò)版的用戶請及時升級控制中心，并建議相關(guān)管理人員在適當時候進行全網(wǎng)查殺病毒，保證企業(yè)信息安全。
    3、江民殺毒軟件增強虛擬機脫殼技術(shù)，能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進行脫殼掃描，有效清除“殼病毒”。
    4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能，該功能可對病毒試圖下載惡意程序、強行篡改系統(tǒng)時間、注入進程和調(diào)用其它惡意程序等行為進行監(jiān)控并自動干預(yù)、處理，有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞，更大程度的提高了計算機對于未知病毒的防范能力。
    5、江民殺毒軟件擁有強大的自防御體系，能有效阻止“驅(qū)動級病毒”關(guān)閉和破壞殺毒軟件，確保殺毒軟件所有功能的完全發(fā)揮，為保障系統(tǒng)和數(shù)據(jù)安全打下了堅實的基礎(chǔ)。
    6、江民防馬墻，能夠第一時間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁，可以自動搜集惡意網(wǎng)址并加入特征庫，阻止了網(wǎng)頁木馬的傳播，有效地保障了用戶的上網(wǎng)安全。
    7、全面開啟BOOTSCAN功能，在系統(tǒng)啟動前殺毒，清除具有自我保護和反攻殺毒軟件的惡性病毒。
    8、懷疑已中毒的用戶可使用江民免費在線查毒進行病毒查證。免費在線查毒地址：http://online.jiangmin.com/chadu.as

丨夢女孩灬廾

關(guān)注中！剛興趣的朋友都來說說

永劫之

挺有道理的，強頂。