北京网络行业协会、江民科技联合发布10月24日病毒播报

安全
英文名称:TrojanDropper.Wolfst.a 中文名称:“社交骗子”变种a 病毒长度:107015字节 病毒类型:木马释放器 危险级别:★ 影响平台:Win 9X/ME/NT/2000/XP/2003

英文名称:TrojanDropper.Wolfst.a

中文名称:“社交骗子”变种a

病毒长度:107015字节

病毒类型:木马释放器

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:fc2e6a5b5c28eb45126bc0ee7e21304b

特征描述:

TrojanDropper.Wolfst.a“社交骗子”变种a是“社交骗子”木马释放器家族中的最新成员之一,采用“Borland Delphi 4.0 - 5.0”编写。“社交骗子”变种a运行后,会在被感染计算机系统的“%SystemRoot%\”文件夹下释放恶意程序“11111.EXE”和“PINCH.EXE”并调用运行。“11111.EXE”会修改hosts文件,利用域名劫持使得用户在访问社交网站“vkontakte.ru”时自动转到一个高度仿真的钓鱼网站,从而骗取用户输入的账号和密码。“PINCH.EXE”会在被感染计算机的后台遍历当前系统中所有窗口,一旦发现指定安全软件的窗口便会通过发送特定消息的方式将其关闭。如果无法将其关闭,自身将退出运行,从而达到了隐藏自我的目的。“社交骗子”变种a会通过读取注册表、读取软件默认安装位置等方式定位“ICQ”、“CuteFTP”、“Opera”、“BatMail”等多种邮件管理器、即时聊天软件、网页浏览器、FTP管理工具的安装位置,查找并读取这些软件的账户数据,并将这些数据发送到骇客指定的收信页面上,致使被感染系统用户的私密信息泄露,造成了不同程度的损失。

英文名称:Trojan/PSW.QQPass.xhg

中文名称:“QQ大盗”变种xhg

病毒长度:107008字节

病毒类型:盗号木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

MD5 校验:00093fd0187f95bdfb0d9ef81c4a8686

特征描述:

Trojan/PSW.QQPass.xhg“QQ大盗”变种xhg是“QQ大盗”盗号木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“QQ大盗”变种xhg运行后,会自我复制到被感染系统的“%SystemRoot%\Web\printers\images\”文件夹下,重新命名为“fgerq.exe”。同时还会在该文件夹下释放恶意DLL组件“fgerq.dll”,并将文件属性设置为“系统、隐藏、只读”。“QQ大盗”变种xhg是一个盗取“雅虎奇摩”会员账号及“热血江湖 Online”网络游戏账号的木马程序,运行后会首先确认自身是否已经插入到桌面进程“explorer.exe”中。安装消息钩子,监视当前系统的状态,伺机进行恶意操作。定位“yahoobuddymain”窗口并插入“ybclient.exe”进程,利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号、角色名等信息,并在后台将窃取到的这些机密信息发送到骇客指定的收信页面“http://www.dj9988d*.com/tw/upfile.asp”等上(地址加密存放),致使用户的账号丢失。另外,“QQ大盗”变种xhg会修改注册表“ShellExecuteHooks”键,以此实现盗号木马的开机自动运行。

针对以上病毒,江民反病毒中心建议广大电脑用户:

1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。

3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。

4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。

5、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。

6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。

7、江民杀毒软件新增强大的启发式扫描,能够启发扫描90%以上的未知病毒。 

 8、江民针对感染Delphi编译环境和应用程序的“Delphi侵蚀者”病毒推出了专杀工具,请广大Delphi开发人员和网民立即下载并对系统进行扫描,从而避免成为病毒传播的源头以及被该病毒所感染。下载地址:http://filedown.jiangmin.com/download/JMInducKiller.exe

9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/

有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。

【编辑推荐】

  1. 病毒日报- 51CTO.COM
  2. 病毒周报- 51CTO.COM
责任编辑:安泉 来源: 安全中国
相关推荐

2009-10-27 13:42:07

2018-08-09 16:45:14

白皮书

2018-08-09 10:13:38

ICTICT人才

2020-10-12 08:27:01

ATM攻击ATM机(提款)威胁

2012-05-29 18:23:38

2015-10-26 22:12:24

华为

2017-01-13 10:19:17

金融科技

2009-03-03 13:31:18

2011-09-13 15:02:00

第六届敏捷中国大会

2015-12-31 16:12:49

华为上海音视频

2009-06-03 11:36:41

软博会 UML认证

2021-06-28 07:42:35

芯片 IC 卡PC

2009-03-11 17:22:27

网页蛀虫广告

2009-10-20 11:19:51

2015-10-26 15:48:35

七牛云

2009-10-23 12:43:13

病毒

2016-04-29 16:14:04

点赞
收藏

51CTO技术栈公众号