中文名稱:“RPCSS毒手”變種a
病毒長(zhǎng)度:34304字節(jié)
病毒類型:木馬
危險(xiǎn)級(jí)別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
Win32/Infectrpcss.a“RPCSS毒手”變種a是“RPCSS毒手”木馬家族中的最新成員之一���,采用高級(jí)語(yǔ)言編寫��,并且經(jīng)過(guò)加殼保護(hù)處理�����。該病毒是由其它惡意程序釋放出來(lái)的DLL功能組件��,一般會(huì)被插入到“explorer.exe”����、“csrss.exe”、“svchost.exe”等系統(tǒng)進(jìn)程以及幾乎所有用戶級(jí)權(quán)限的進(jìn)程中加載運(yùn)行����,并在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)執(zhí)行惡意操作,隱藏自我����,防止被用戶發(fā)現(xiàn)、被安全軟件查殺�。“RPCSS毒手”變種a運(yùn)行后,會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%system32”目錄下�����,重新命名為“csrss.dll”����,并釋放病毒組件“sh01008.dll”到“%SystemRoot%system32”目錄下。“RPCSS毒手”變種a是一個(gè)專門盜取“完美世界Online”����、“誅仙Online”等網(wǎng)絡(luò)游戲會(huì)員賬號(hào)的木馬程序�,會(huì)在被感染計(jì)算機(jī)的后臺(tái)秘密監(jiān)視用戶系統(tǒng)中所運(yùn)行著的所有應(yīng)用程序窗口標(biāo)題��,然后利用鍵盤鉤子�����、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)���、游戲密碼����、所在區(qū)服���、角色等級(jí)�、金錢數(shù)量���、倉(cāng)庫(kù)密碼等信息,并在后臺(tái)將竊取到的玩家機(jī)密信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)上(地址加密存放)����,致使網(wǎng)絡(luò)游戲玩家的游戲賬號(hào)、裝備�、物品���、金錢等丟失,給游戲玩家造成不同程度的損失����。同時(shí),“RPCSS毒手”變種a還具有竊取玩家游戲賬號(hào)密碼保護(hù)的功能��。因此����,當(dāng)游戲玩家發(fā)現(xiàn)自己的游戲賬號(hào)被盜時(shí),千萬(wàn)不要在當(dāng)前被感染計(jì)算機(jī)上登陸該網(wǎng)絡(luò)游戲的官方網(wǎng)站去找回游戲密碼�,否則會(huì)連同密碼保護(hù)資料一同被駭客所盜取,給游戲玩家造成更加嚴(yán)重的損失����。“RPCSS毒手”變種a還會(huì)利用域名映像劫持技術(shù)在被感染計(jì)算機(jī)的后臺(tái)強(qiáng)行篡改系統(tǒng)Hosts文件,屏蔽某些網(wǎng)絡(luò)游戲的官方站點(diǎn)����,從而阻止了用戶對(duì)這些網(wǎng)絡(luò)游戲網(wǎng)站的訪問(wèn),達(dá)到了用戶在賬號(hào)失竊后無(wú)法立即取回密碼的目的��。“RPCSS毒手”變種a還會(huì)利用進(jìn)程守護(hù)技術(shù)來(lái)實(shí)現(xiàn)對(duì)自我的保護(hù)���。該木馬通過(guò)替換系統(tǒng)文件“rpcss.dll”的方式來(lái)實(shí)現(xiàn)開機(jī)后自動(dòng)運(yùn)行�。如果安全軟件直接查殺掉被木馬替換的“rpcss.dll”文件的話,將會(huì)導(dǎo)致被感染計(jì)算機(jī)出現(xiàn)無(wú)法連接網(wǎng)絡(luò)�����、系統(tǒng)復(fù)制(粘貼)功能失效���、桌面程序“explorer.exe”啟動(dòng)緩慢等異?,F(xiàn)象�,嚴(yán)重地影響了用戶對(duì)計(jì)算機(jī)系統(tǒng)的正常使用。
英文名稱:Trojan/Regrun.fg
中文名稱:“注冊(cè)表蛀蟲”變種fg
病毒長(zhǎng)度:176640字節(jié)
病毒類型:木馬
危險(xiǎn)級(jí)別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
Trojan/Regrun.fg“注冊(cè)表蛀蟲”變種fg是“注冊(cè)表蛀蟲”木馬家族中的最新成員之一�,采用“Borland Delphi 6.0 – 7.0”編寫,并且經(jīng)過(guò)加殼保護(hù)處理����。“注冊(cè)表蛀蟲”變種fg運(yùn)行后,會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%”目錄下�,重新命名為“server.exe”,將創(chuàng)建時(shí)間修改為系統(tǒng)安裝日期�,并將該文件與原文件設(shè)置為系統(tǒng)��、隱藏等屬性���。強(qiáng)行篡改注冊(cè)表相關(guān)鍵值�,對(duì)被感染計(jì)算機(jī)系統(tǒng)中的“顯示系統(tǒng)隱藏文件”、“安全模式”��、“系統(tǒng)還原”等功能進(jìn)行破壞或關(guān)閉��,從不同程度上干擾了被感染計(jì)算機(jī)系統(tǒng)的正常運(yùn)行���。“注冊(cè)表蛀蟲”變種fg運(yùn)行時(shí)����,會(huì)釋放惡意DLL組件(KV2009檢測(cè)為“Worm/AutoRun.bsv”)至內(nèi)存指定區(qū)域中���,隨后強(qiáng)行關(guān)閉桌面進(jìn)程“explorer.exe”��,運(yùn)行自身的副本后再將釋放的DLL病毒文件注入到新啟動(dòng)的“explorer.exe”進(jìn)程之中加載運(yùn)行����。在后臺(tái)嘗試連接駭客指定的遠(yuǎn)程站點(diǎn)“one-dream.g**p.net”�,并將竊取到的用戶私密信息發(fā)送到其中,使得被感染計(jì)算機(jī)用戶的個(gè)人隱私受到了不同程度的侵害����。另外�,“注冊(cè)表蛀蟲”變種fg會(huì)通過(guò)在系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)和其它項(xiàng)目中添加鍵值的方式來(lái)實(shí)現(xiàn)木馬的開機(jī)自啟動(dòng)����。
針對(duì)以上病毒,江民反病毒中心建議廣大電腦用戶:
1��、請(qǐng)立即升級(jí)江民殺毒軟件�,開啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控,防止目前盛行的病毒�����、木馬��、有害程序或代碼等攻擊用戶計(jì)算機(jī)���。
2��、江民KV網(wǎng)絡(luò)版的用戶請(qǐng)及時(shí)升級(jí)控制中心����,并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒�����,保證企業(yè)信息安全����。
3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)�,能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進(jìn)行脫殼掃描����,有效清除“殼病毒”。
4��、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能����,該功能可對(duì)病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間����、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)、處理�,有效地遏制了未知病毒對(duì)系統(tǒng)所造成的干擾和破壞,更大程度的提高了計(jì)算機(jī)對(duì)于未知病毒的防范能力��。
5、江民殺毒軟件擁有強(qiáng)大的自防御體系��,能有效阻止“驅(qū)動(dòng)級(jí)病毒”關(guān)閉和破壞殺毒軟件�����,確保殺毒軟件所有功能的完全發(fā)揮�����,為保障系統(tǒng)和數(shù)據(jù)安全打下了堅(jiān)實(shí)的基礎(chǔ)����。
6、江民防馬墻��,能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁(yè)��,可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫(kù)���,阻止了網(wǎng)頁(yè)木馬的傳播����,有效地保障了用戶的上網(wǎng)安全�����。
7、全面開啟BOOTSCAN功能���,在系統(tǒng)啟動(dòng)前殺毒,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒�����。
8��、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證���。免費(fèi)在線查毒地址:http://online.jiangmin.com/chadu.asp
有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢�����,或訪問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱����。
