文章来源:本网原创 责任编辑/万青华 2007-10-22
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“自动运行木马变种YTK(Trojan.Win32.Autorun.ytk)”病毒。该病毒通过优盘传播,运行后盗取用户信息。
本日热门病毒:
“自动运行木马变种YTK(Trojan.Win32.Autorun.ytk)”病毒:警惕程度★★★,木马病毒,通过优盘、移动硬盘等移动存储设备传播,依赖系统:Win9X/WINNT/2000/XP/2003。
该病毒通过优盘,移动硬盘来传播,它拷贝自身到新添加设备根目录下并命名为PegeFile.PIF,之后在设备根目录下创建autorun.inf,同时更改系统和自身实现隐藏病毒的目的。病毒可以修改系统的启动文件实现随系统启动,病毒发作之后从网上自动下载指定的木马程序,从而盗取用户的信息。
金山毒霸每日病毒预警
"梦幻之盗15360"(Win32.Troj.MBER.a.15360)这是一个木马程序。该病毒运行后,会从自身释放出病毒文件,并注入到services.exe或explorer.exe系统进程,以此来隐蔽自身,并从网络上下载盗号程序,来协助完成梦幻西游ONLINE的盗号工作。
"随机木马77856"(Win32.Troj.Unknown.b.77856)这是一个木马程序。病毒会在系统的两个文件夹下生成病毒文件并创建注册表服务项以达到病毒能开机自启动。病毒通过修改注册表的方式禁用系统自动更新,并会修改系统时间,监控杀软"卡巴斯基"的窗口。病毒会从网络下载大量的木马程序保存在客户计算机上并运行。
一、"梦幻之盗15360"(Win32.Troj.MBER.a.15360) 威胁级别:★
1.病毒运行后,产生以下病毒文件
%windows%\system32\LYLOADER.EXE
%windows%\system32\MSDEG32.DLL
%windows%\system32\LYMANGR.DLL
%windows%\system32\Verify.exe
2.该病毒运行成功后,会自删除病毒源文件。
3.当病毒监测到有services.exe或explorer.exe进程时,便会创建远程线程(加载LYMANGR.DLL和MSDEG32.DLL)。
4.病毒添加了启动项(启动项是指随着系统启动而运行的程序)
启动项名:LYLoader.exe对应路径:%windows%\system32\LYLOADER.EXE
5.病毒还会根据IP从网络上下载病毒。
6.MSDEG32.DLL文件被注入到explorer.exe或services.exe进程后会搜索进程,查找是否有“梦幻西游”的进程,有则
通过Verify.exe病毒文件进行盗取操作。
7.具体发送的的帐号信息包含如下:
帐号,密码,区名,现金数,存银
8.所得到的梦幻西游帐号信息会被发送到以下网址
http://5****a.com/mh2007/post2007kj.asp
http://www.r****wd.com/cs03/post.asp
二、 "随机木马77856"(Win32.Troj.Unknown.b.77856) 威胁级别:★
1.病毒运行后,会生成以下病毒文件
%windir%\system32\A457B050.EXE (随机病毒名)
%windir%\system32\9C019E18.DLL (随机病毒名)
2.病毒运行成功后,会通过批处理文件自删除病毒源文件。
3.病毒通过修改注册表的方法禁用系统自动更新功能。
4.当病毒监测到进程有avp.exe时,会修改系统时间为2005年。
5.病毒如发现窗口标题为"卡巴斯基反病毒软件 6.0:通知"则发送消息关闭
6.病毒会读取指定的网址上的 txt 文件以获取木马下载地址,并下载木马程序保存至客户计算机上运行。
7.病毒搜寻窗口,如发现是QQ聊天窗口则发送一段指定的文字发送到聊天对象的QQ里。
相关新闻
