“无量盗号器90112” （Win32.Hack.PcClient.al.90112），这是一个目标范围比较广的盗号木马。它能盗窃网络游戏《魔兽世界》和yahoo、 google、live等电子邮箱的帐号和密码。它具有对抗能力，会关闭一些主流安全软件的进程，并强制删除系统的防火墙模块。

　　“广告下载器213760”（Win32.Hack.Agent.ri.213760），这是一个具有下载器功能的广告木马。它能修改用户IE设置，弹出危险网页，并连接远程Ftp，下载其它病毒到本地执行。

　　一、“无量盗号器90112”（Win32.Hack.PcClient.al.90112）威胁级别：★★

　　该盗号木马在对抗安全软件方面做了不少工作。它一进入用户的电脑系统，就尝试通过进程快照，关闭卡巴斯基、NOD32、、金山毒霸、瑞星等常见的杀毒软件，并删除系统防火墙的相关文件，确保自己在发送赃物时不会受到阻碍。

　　病毒对含有yahoo、google、live、comcast.net、worldofwarcraft、wow-europe等字段的网页进行监控，只要发现用户在这些网页上输入看上去像帐号和密码的数据，就将其记录下来。而为了确保用户是用IE登录，它会搜索firefox.exe等其它浏览器，发现后就删除。

　　同时，它利用修改进程内存的方法，让用户在使用雅虎通、MSN、《魔兽世界》等即时通讯软件和游戏时，把帐号和密码自动记录一份到病毒的配置文件中。

　　最后，该毒建立远程连接，将偷到的数据打包加密，发往病毒作者指定的接收地址。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hack-pcclient-al-90112-52648.html

　　二、“广告下载器213760”（Win32.Hack.Agent.ri.213760）威胁级别：★

　　病毒主体是一个驱动文件msspac.sys，位于%WINDOWS%\system32\drivers\目录下。它会修改注册表，添加自己为名为msspac服务项，随系统开机自启动。

　　驱动加载后，就释放执行病毒功能的ortfta.dll文件到%WINDOWS%下，把它也设置为开机自启动。它只要顺利运行起来，就会修改用户IE浏览器的设置，弹出大量广告网页。其中一些网页上被挂有木马。

　　同时，该毒会连接远程Ftp服务器，下载其它病毒到本地执行，引发更多的安全问题。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hack-agent-ri-213760-52649.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年12月4日的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

上一条新闻： 12.03病毒预警：“超级AV终结者”对抗能力极强 高危下载器

下一条新闻： 没有了

相关文章

没有相关新闻

网友评论：（评论内容只代表网友观点，与浩扬网络立场无关！）

最新推荐

热门文章

赞助商