您所在的位置:网络安全 > 恶意代码 > 冠群金辰11月第4周周报:最常见病毒仍然是木马

冠群金辰11月第4周周报:最常见病毒仍然是木马

2008-12-03 15:17 流云 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

冠群金辰11月第4周周报:本周病毒感染情况总体上稍有增加,其中最常见病毒仍然是游戏盗号类木马程序。

AD:

【51CTO.com 综合报道】本周病毒感染情况总体上稍有增加,其中最常见病毒仍然是游戏盗号类木马程序。

以下几种是本周常见病毒:

Win32.Treemz (盗窃网络游戏敏感信息的木马)

Win32/Frethog 系列变体(网游盗号类木马)

Win32.Gamepass!generic  (网游盗号类木马)

Win32.GameStealer!generic  (网游盗号类木马)

Win32.MidigamAgeneric (下载类木马及其变体)

Win32.Gamepass系列变体(网游盗号类木马)

Win32.Hitpop Family 间谍/广告类木马程序

本周特别关注病毒:

特洛伊病毒Win32.Treemz 危害性:中等危害

病毒特性:

Win32/Treemz.BD是一种盗窃网络游戏敏感信息的特洛伊病毒。

感染方式:

运行时,Win32/Treemz.BD将正常的系统文件%System%\ws2_32.dll复制到%Temp%ntfast_32.dll,并将自身注入到explorer.exe进程。除在系统进程注入dll库文件外,近期新的一些变体会以 *.css文件通过一些有害信息网站下载。

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
%Temp%是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径 C:\Documents and Settings\\Local Settings\Temp"或 "C:\WINDOWS\TEMP"。

危害:

盗窃敏感信息

Win32/Treemz.BD盗窃敏感信息,与网络游戏相关的用户名和密码。

特洛伊监控带有这个网络游戏相关的标题的窗口和按键。它还会监控"game.exe"进程,一般用于Ghost Online 和 RAN Online游戏。

Treemz.BD将收集的资料发送到以下域:

mm2.laozihuolaile.cn
tlbm2.laozihuolaile.cn
tlbm3.laozihuolaile.cn

特洛伊病毒Win32.Frethog 家族其它名称:INF/Frethog, Win32/Frethog!generic 病毒属性:特洛伊木马危害性:中等危害

病毒特性:

Win32/Frethog是一种盗窃网络游戏密码的特洛伊病毒。

感染方式:

运行时,Frethog 不同的变体使用不同的文件名复制到%Windows % 或 %Temp%目录中。病毒可能使用以下文件名:
upxdnd.exe、mppds.exe、cmdbcs.exe、wsttrs.exe、wsvbs.exe、msccrt.exe、
winform.exe、shualai.exe、mhs*.exe、zts*.exe、wlsz.exe、rxsz.exe、nmhxy.exe

Frethog 修改注册表键值,以确保在系统启动时运行病毒,例如:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\upxdnd = "%Temp%\upxdnd.exe"
Frethog最新的变体会在%Windows% 或 %Temp%目录中生成DLL文件。

危害:

盗窃敏感信息

Frethog 将代码注入到explore.exe程序中,这个代码会检查被感染系统上是否运行了特定的网络游戏。这些游戏包括World of Warcraft,武林外传,征途,魔域,网络创世纪(UO)。

随后,病毒尝试盗窃以下与游戏相关的信息:

游戏账号的用户名和密码;游戏服务器地址;游戏中的人物细节;人物的财富细节;人物的等级。

其它信息

Frethog 可能通过其它病毒下载到被感染机器上,例如Win32/Oanum 蠕虫。

其他近期新病毒的资料可参考:http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建议:

1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;

2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;

3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;

4、不要随意执行未知的程序文件;

5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;

【相关文章】

【责任编辑:韩密生 TEL:(010)68476606】



分享到:

热点职位

更多>>

热点专题

更多>>

读书

网络工程师必读——网络系统设计
本书是一本真正意义上的网络系统设计图书,从网络系统设计角度全面介绍了整个网络系统设计的思路和方法,而不是像传统网络集成类

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院