安铁诺病毒预警07.07--07.13
- 出处:山丽网安
- 时间:2008-07-03
病毒名称:Trojan-PSW.Win32.OnLineGames.arza (游戏盗号木马)
危害程度:★★★
受影响的系统:Windows 9X, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统:Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1 该病毒释放DLL到系统文件、修改相关注册表信息,并全局注入DLL。
2 盗取游戏账号、密码。
传播形式:
1 删除系统方法X:\windows\system32\VERCLsid.exe。
2 释放DLL文件到X:\WINDOWS\system32\jfdses.dll。
3 修改注册表相关信息:
1)添加注册项:HKEY_CLASSES_ROOT\CLSID\{81AF1CF6-D1C9-4C6A-AC01-EDE54 E71945B}\InProcServer32\,并设置关联文件为C:\WINDOWS\system32\jfdses.dll。
2)添加注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\EXPLORER\ SHELLEXECUTEHOOKS\{81AF1CF6-D1C9-4C6A-AC01-EDE 54E71945B},实现自动加载。
4 生成配置文件X:\WINDOWS\system32\jfdses.dll.LoG、tf0和临时注册表项HKEY_ CURRENT_USER\avs,保存临时信息。
5 加载X:\WINDOWS\system32\jfdses.dll,盗取账号密码,并全局注入。
安铁诺反病毒专家提醒:
1、在运行刚下载的程序时,先使用防病毒软件对其进行扫描。
2、及时升级安铁诺防病毒软件(一般每个工作日升级)和山丽网络堡垒防黑客软件,并根据自身需要设置好相应的功能,使其充分发挥作用。同时,启动安铁诺防病毒软件的“实时监控”功能。
3、建议用户立即针对自己计算机安装的操作系统,找到相应的安全漏洞补丁,下载并安装。以遏制利用这些漏洞进行传播的病毒,减少病毒给计算机用户带来的危害。
用户如有电脑病毒类异常情况,请拨打安铁诺反病毒中心电话:
021-68866655,如有疑似样本请发到:virus@sanlen.com.cn或support@sanlen.com.cn
- 作者:山丽网安
Back