“视窗杀手248”(Win32.KillWin.jz.248),这是一个极具破坏性的恶作剧病毒程序。它利用感染正常的exe格式文件进行传播,病毒会删除C:盘中的boot.ini、ntldr、bootmgr等重要的系统启动文件,造成用户在下一次使用电脑时,系统无法启动。
“虚假登录盗号者212480”(Win32.Troj.OnLineGames.ly.212480),这是一个盗号木马程序。该程序会创建多款网络游戏的虚假服务器,骗取用户登陆,从而盗取用户的帐号相关信息。
一、“视窗杀手248”(Win32.KillWin.jz.248) 威胁级别:★★
在见惯了各式各样的盗号木马后,突然发现一个传统的破坏型病毒实在是让人有种“眼前一亮”的感觉。不过这可不是什么好事,因为它给你带来的麻烦也许会超过被偷走游戏账号的程度。
这个病毒可利用所有exe格式的可执行文件进行传播,它将病毒代码寄生在被感染文件的节空闲处,当用户运行被感染的文件时,病毒就会被激活。它会从被感染文件中分离出来运行,让原始文件正常运行,而它却在c:盘根目录下悄悄地进行搜索,删除所有能找到的boot.ini、ntldr、bootmgr文件。
由于这些文件都是系统启动时需要调用的重要文件,刚刚被删除时,系统不会出现任何异常,但当用户下次再开机,就会发现电脑根本无法启动。虽然修复病毒造成的破坏并不复杂,但这已经足以给用户的正常使用带来很大的麻烦。如果是商业电脑中了此毒,那甚至可能会令用户蒙受巨额的经济损失。
不幸中的万幸是,由于该病毒并不不完善,它只能删除c:盘下的系统文件,如果你的系统盘不在c:盘,就不会受到任何影响。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-killwin-jz-248-50505.html
二、“虚假登录盗号者212480”(Win32.Troj.OnLineGames.ly.212480) 威胁级别:★★
这是一个针对台湾省岛内运营网游的盗号木马。它采取伪造服务器登录页面的“钓鱼”手段来盗取网游帐号和密码,由于伪装度非常高,并且不对游戏进程进行注入,作案成功率较高。广大网游玩家需提高警惕。
病毒会通过网页挂马、捆绑其它软件等方法混进电脑,然后将病毒文件rinter.dll和rinter.exe释放到系统盘的%WINDOWS%\Web\printers\images\目录下,其中rinter.dll的相关数据会被写入系统注册表,以实现开机自启动。
成功启动后,病毒会自己创建出多款网游服务器的虚假登录窗口。经毒霸反病毒工程师分析,发现该病毒共伪造得有《乱(Ran) online》、《魔兽世界》、《天堂》,《FZG》、《黄易群侠传》等5款台湾热门网游的登录窗口。假窗口看上去和真的一模一样,但只要用户从伪造的窗口登录,帐号和密码就会被记录下来,发送到病毒作者指定的地址上,实现盗号。
虽然病毒针对的是台湾省岛内的游戏玩家,但内地玩家,尤其是在台服有帐号的玩家一样需要注意。建议安装《金山密保》等专业的帐号保护软件,配合毒霸一起进行防护,以提高系统的安全系数。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-onlinegames-ly-212480-50506.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年4月2的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。