比特网安全频道今日提醒您注意:在今日的病毒中“游戏托”变种c、“网游窃贼”变种jcu和“安德夫木马释放器变种gh”变种都值得关注。
一、今日高危病毒简介及中毒现象描述:
“游戏托”变种c是“游戏托”木马家族中的最新成员之一,采用“microsoft visual c++ 6.0”编写,并且经过加壳保护处理。“游戏托”变种c运行后,会自我复制到被感染计算机系统的“%systemroot%\system32\”目录下,重新命名为“delnicek.exe”,并在相同目录中释放一个dll病毒文件“delnice.dll”。“游戏托”变种c是一个专门盗取“qq 华夏online”、“地下城与勇士online”网络游戏玩家账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来不同程度的损失。“游戏托”变种c通过在注册表启动项中添加键值实现随系统启动而加载运行。同时,病毒主程序会在安装结束后进行自我删除,以销声匿迹。
“网游窃贼”变种jcu是“网游窃贼”木马家族中的最新成员之一,采用delphi语言编写,并且经过加壳保护处理。该病毒是其它恶意程序所释放出来的dll病毒文件,通过修改注册表启动项来实现开机自动运行。“网游窃贼”变种jcu运行后,一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“网游窃贼”变种jcu是一个专门盗取“魔兽世界online”游戏会员账号的木马程序,会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子等技术手段盗取游戏玩家的账号等相关信息,并在后台将窃取到的信息发送到骇客指定的远程服务器上,致使网络游戏玩家蒙受不同程度的经济损失。
“安德夫木马释放器变种gh(dropper.win32.undef.gh)”是一个释放型病毒,该病毒经常使用ie图标,病毒运行后,会释放其它病毒,释放的病毒使用rar图标。病毒运行后,在windows目录下释放自己,然后在program files目录下释放rar图标的病毒。在“c:\documents and settings\all users\「开始」菜单\程序\启动\”下创建快捷方式,指向windows目录下的病毒,达到开机启动的目的。释放的rar图标的病毒是属于破坏型的,它会找到exe文件,然后把自己的代码写入exe文件,使用的方式是覆盖。被修改的exe文件其实就是病毒,运行被修改过的文件就运行了病毒,被修改过的exe文件不能被恢复,给用户电脑带来严重威胁。
二、针对以上病毒,比特网安全频道建议广大用户:
1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。
3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。
