“精确制导监视器”木马专杀
病毒介绍:
病毒别名:Win32.Troj.Agent.km.52224
病毒名称(中文):精确制导监视器
威胁级别:★★☆☆☆
病毒类型:木马程序
病毒长度:52224字节
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个间谍木马程序.这个木马没有固定的文件名,它进入系统后,就把自己复制到%WINDOWS%\system32\目录下,名字随机生成,并删除原始文件.然后就修改注册表,将自己设置为开机自启动.它能够记录用户的系统数据和所在地区,以及用户使用搜索引擎时输入的关键词,然后将这些信息发送给病毒作者.该毒有一个特点,就是病毒作者可以给它指定发作地区.它检查系统中Control Panel\International的键值iCountry、Nation,判断当前电脑的所在国家,如果发现是病毒作者指定的国家,就立即运行,如果不是,则沉默等待.毒霸反病毒工程师认为,这是病毒作者实现“精确攻击”的办法,这使得他们能获取最准确的某区域用户信息.
1. 创建线程explorer.exe,删除自身
2. 将自身复制到c:\WINDOWS\system32目录下,名字随机生成
3. 在注册表增加记录system,值为生成的文件名
4. 将自身文件映射到内存,从指定地址下载文件到该映射,即覆盖文件
5. 检查父进程是否是explorer,若不是则将其关闭
6. 给自身创建并开启服务,服务名为Windows Tribute Service
7. 从IE的缓存中检查访问过的网址,检查IE缓存,它对用户最大的威胁,在于它能够读取IE的缓存,记录用户的网页浏览记录,以及用户使用msn、google、yahoo、aol、icq等搜索引擎时所输入的关键词记录.同时,它还会检查用户使用的浏览器是哪种.毒霸反病毒工程师猜测,当这些数据被发送到病毒作者手中,可能会被用于统计用户的上网习惯,以帮助病毒作者有针对性的开发广告木马.
8. 检查Control Panel\International的键值iCountry、Nation判断所在的国家,可以通过此处来设定在特定的国家执行该病毒,这里没有设定
9. 将系统目录下的exe文件创建进程执行一次,然后关闭,得到一个能执行的exe文件,然后再创建进程执行,并且调用一组API将得到的信息写入到该进程申请的空间中去
10. 打开explorer.exe进程,将自身代码以及信息注入进去,然后恢复线程执行,病毒运行起来后,会注入桌面进程explorer.exe,隐蔽运行,并连接病毒作者指定的地址6*.2*.1*8.221,下载最新版本的自己,实现更新,然后就开始作案.
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
