盗号网络游戏密码的恶意程序更新速度特别快,变种非常多。在经济利益的驱使下,程序作者会利用各种手段(如加壳,加花指令等)来逃到安全工具的查杀。该恶意程序运行后会尝试终止程序指定的程序,会监视梦幻西游的程序并盗取游戏帐号和密码。由于该程序会与其他网游木马一起被下载,超级巡警团队建议用户升级到最新病毒库,进行全面查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Spy.Win32.Agent.aqm
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:24,289(字节)
SHA1 :624ebe30e9421d9f65292693986fc9664e29ed83
加壳类型:未知
开发工具:Microsoft Visual C++ 6.0
病毒行为:
1、文件运行后会释放以下文件:
%System%\ilove.sys
%System%\inetsvr.exe //与执行程序为同一文件
%System%\netapi16.dll
%System%\ice.sys
2、试图结束以下程序:
RavCopy.exe、RsAgent.exe、UlibCfg.exe、runiep.exe、rfwstub.exe、rfwsev.exe、rfwProxy.exe、
RavTask.exe、avp.exe、RavStub.exe、CCenter.exe、EtherD.exe、abc.exe、my.exe、RavmonD.exe、
Ravmon.exe、inetsvr.exe、my.exe、ntoskrnl.exe
3、添加注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"inetsvr"="%System%\\inetsvr.exe"
[HKEY_CLASSES_ROOT\CLSID\{37F5B1C4-E169-4B71-A86A-7538BAE1813D}\InprocServer32]
@="%System%\\netapi16.dll"
4、监控程序my.exe和mhmain.dll,如果在运行状态则关闭进程并开始记录键盘操作,从而盗取用户帐号相关信息。
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:
http://www.dswlab.com/d1.html三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要随便打开不明来历的电子邮件,尤其是邮件附件。
9、不要随意下载不安全网站的文件并运行。
www.newjian.com
您的位置: