一区二区国产高清视频在线_真人性做爰A片免费_强伦人妻BD在线电影_亚洲熟妇无码AV_免费人成视频在线观看网站_亚洲欧美精品午睡沙发_在线观看无码的免费网站_中文字幕无码A片久久_日韩欧美国产一区精品_久久精品女人天堂av

重慶醫(yī)科大學(xué)論壇

標(biāo)題: 提醒謹(jǐn)防“QQ搶劫犯”和“殺手小杰” [打印本頁]

作者: gao0907 時(shí)間: 2008-5-23 13:43
標(biāo)題: 提醒謹(jǐn)防“QQ搶劫犯”和“殺手小杰”
提醒謹(jǐn)防“QQ搶劫犯”和“殺手小杰”
5月21日，江民反病毒中心提醒用戶謹(jǐn)防“QQ搶劫犯”變種adw和“殺手小杰”病毒。“QQ搶劫犯”能夠竊取用戶QQ密碼，“殺手小杰”能夠盜取用戶玩家網(wǎng)絡(luò)游戲“大話西游II”的登陸帳號(hào)、登陸密碼、倉庫密碼、角色等級(jí)、金錢數(shù)量、所在區(qū)服、計(jì)算機(jī)名稱等信息資料。
江民反病毒專家介紹，“QQ搶劫犯”變種adw（Trojan/PSW.QQRobber.adw）是“QQ搶劫犯”木馬家族的最新成員之一，采用DELPHI語言編寫，并經(jīng)過添加保護(hù)殼處理。“QQ搶劫犯”變種adw運(yùn)行后，復(fù)制自身到被感染計(jì)算機(jī)系統(tǒng)“啟動(dòng)”目錄下，重命名為“系統(tǒng)補(bǔ)丁*.exe”（其中*號(hào)代表計(jì)算機(jī)名），并在“Program Files\Common Files\Microsoft Shared\MSInfo\”目錄下釋放病毒組件“atmQQ2.dll”，通過修改注冊表實(shí)現(xiàn)木馬開機(jī)自啟動(dòng)。將病毒組件“atmQQ2.dll”插入到所有用戶進(jìn)程中運(yùn)行。查找并結(jié)束某些安全軟件，并通過修改系統(tǒng)時(shí)間使某款安全軟件失效。“QQ搶劫犯”變種adw嘗試刪除“QQDoctor.exe”文件，防止QQ登陸前查殺木馬。在后臺(tái)秘密監(jiān)視用戶的操作，當(dāng)用戶登陸QQ時(shí)利用HOOK技術(shù)記錄用戶的鍵盤操作，盜取QQ密碼，并將用戶的賬號(hào)密碼等機(jī)密信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器中，給用戶造成一定的損失。
“驅(qū)動(dòng)殺手”變種a（TrojanDropper.Driver.a）也叫“殺手小杰”，是木馬家族的最新成員之一，采用VC++ 6.0編寫，并經(jīng)過加殼處理。“驅(qū)動(dòng)殺手”變種a運(yùn)行后，會(huì)先在被感染計(jì)算機(jī)的后臺(tái)替換系統(tǒng)%SystemRoot%\system32\drivers\目錄下的驅(qū)動(dòng)文件“beep.sys”（替換后的惡意驅(qū)動(dòng)程序文件大小為：2,560 字節(jié)），接著將該惡意驅(qū)動(dòng)程序注冊為系統(tǒng)服務(wù)，用來還原系統(tǒng)“SSDT HOOK”，從而使部分安全軟件的保護(hù)功能失效，達(dá)到躲避安全軟件的防御和查殺的目的。最后將該惡意驅(qū)動(dòng)程序文件刪除，并在被感染計(jì)算機(jī)系統(tǒng)的%SystemRoot%\system32\dllcache\目錄下拷貝一個(gè)正常的原系統(tǒng)驅(qū)動(dòng)文件“beep.sys”來覆蓋還原恢復(fù)被病毒替換的系統(tǒng)驅(qū)動(dòng)文件。
病毒會(huì)在被感染計(jì)算機(jī)系統(tǒng)的臨時(shí)文件夾下釋放惡意DLL組件文件“tmp1.tmp”（文件大小為：13,873 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），會(huì)在被感染計(jì)算機(jī)系統(tǒng)的%SystemRoot%\system32\目錄下釋放惡意DLL組件文件“msosdohs00.dll”（文件大小為：13,873 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），會(huì)在被感染計(jì)算機(jī)系統(tǒng)的%SystemRoot%\system32\drivers\目錄下釋放惡意驅(qū)動(dòng)文件“msosmsfpfis64.sys”（文件大小為：2,560 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），還會(huì)在被感染計(jì)算機(jī)系統(tǒng)的%SystemRoot%\system32\目錄下創(chuàng)建一個(gè)配置文件“msosdohs.dat”。
“驅(qū)動(dòng)殺手”變種a運(yùn)行時(shí)，會(huì)將惡意驅(qū)動(dòng)程序“msosmsfpfis64.sys”注冊為系統(tǒng)服務(wù)，用來還原系統(tǒng)“SSDT HOOK”，從而使部分安全軟件的保護(hù)功能失效，達(dá)到躲避安全軟件的防御和查殺的目的。會(huì)把惡意DLL組件程序“msosdohs00.dll”插入到所有用戶級(jí)權(quán)限的進(jìn)程中加載運(yùn)行，防止被用戶發(fā)現(xiàn)。會(huì)在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)利用HOOK和內(nèi)存截取等技術(shù)盜取用戶玩家網(wǎng)絡(luò)游戲“大話西游II”的登陸帳號(hào)、登陸密碼、倉庫密碼、角色等級(jí)、金錢數(shù)量、所在區(qū)服、計(jì)算機(jī)名稱等信息資料。并且會(huì)在被感染計(jì)算機(jī)后臺(tái)將竊取到的這些信息資料發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)“http://www.775911.cn/xiaojie/xjdg886/2564326423657lin.asp”上。由于病毒發(fā)送密碼的服務(wù)器根目錄文件名為“xiaojie”（小杰），該病毒被懷疑系一名為“小杰”的駭客編寫，因此該病毒也被稱為“殺手小杰”。
江民反病毒專家提醒用戶，由于以上病毒均具有關(guān)閉殺毒軟件功能，因此電腦用戶務(wù)必選擇安裝一款自我保護(hù)能力強(qiáng)大的殺毒軟件保護(hù)電腦數(shù)據(jù)安全，務(wù)必及時(shí)更新殺毒軟件病毒庫，開啟“主動(dòng)防御”“實(shí)時(shí)監(jiān)測”功能，以防御病毒于系統(tǒng)之外。

歡迎光臨重慶醫(yī)科大學(xué)論壇 (http://www.espacio12.com/)