以下是2009年3月5日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件:avengert@antiy.net,我们会尽快予以答复。
安天实验室每日病毒预警
一、“偷盗者”(Trojan/Win32.OnLineGames.usac[GameThief]) 威胁级别:★★★★
该病毒为盗取网络游戏QQ自由幻想账号信息木马。该病毒运行后查找系统目录所在的位置找到后,衍生病毒文件到%System32%下,重命名为hkeeoegg.dll。并把病毒DLL文件注入到除系统进程以外的所有应用程序进程中。安装全局钩子,获取敏感信息,修改病毒DLL文件创建时间为2004-8-4,从而达到隐藏自身的目的。通过修改注册表达到开机启动和自我隐藏的目的。在%TEMP%下释放一个.bat文件,在病毒运行完自身后调用此bat文件对自身进行删除。调用函数来获取机器IP及主机名称。
二、“偷盗者”(Trojan/win32.WOW.fcj[Stealer]) 威胁级别:★★★★
该病毒为盗取网络游戏魔兽世界账号信息木马。病毒运行后,创建互斥量,检测注册表中是否存在魔兽游戏注册表键值,遍历进程查找wow.exe、avp.exe、KVMonXP.exe进程,找到进程后释放病毒文件到%temp%临时目录下重命名:WowInitcode.dat,将自身移动到该目录下、并将属性设置为隐藏,使用函数动态加载WowInitcode.dat病毒文件,试图将病毒衍生的文件注入到所有进程中。
WowInitcode.dat病毒文件分析:判断自身是否在explorer.exe进程中,如是则设置消息钩子,创建互斥量,查找部分软件类名及标题名,找到后则发送关闭消息,通过消息钩子截取魔兽世界游戏账号密码相关信息,以URL方式发送到病毒作者指定的地址中。
安天反病毒工程师建议
1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后,应将病毒监控功能打开、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.安天反病毒应急中心及时进行了病毒库更新;如未安装安天防线2008,可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
