警惕“黑客遙控器9728”遙控你的電腦

一、“黑客遙控器9728”(Win32.Hack.PcClient.9728) 威脅級(jí)別：★
    病毒進(jìn)入系統(tǒng)后，在系統(tǒng)盤(pán)根目錄下釋放出5個(gè)病毒文件，分別為%WINDOWS%下的0004bb58.inf和另外三個(gè)隨機(jī)命名的.dll、.KEY、.sco格式文件，以及%WINDOWS%\drivers\目錄下的一個(gè).sys文件。然后，它修改注冊(cè)表系統(tǒng)項(xiàng)，將自己的相關(guān)數(shù)據(jù)加入其中，使自己達(dá)到隨系統(tǒng)啟動(dòng)而啟動(dòng)之目的。
    為了避免用戶的發(fā)現(xiàn)，病毒會(huì)將自己偽裝為名為“rtltvb”的WINDOWS系統(tǒng)的服務(wù)進(jìn)程，如果用戶注意檢查其屬性，可發(fā)現(xiàn)它的描述為：“Microsoft .NET Framework TPM”，路徑為“%sys32dir%\svchost.exe -k rtltvb”，偽裝得還真像!
    如果得以順利運(yùn)行，病毒就會(huì)讀取注冊(cè)表中關(guān)于代理服務(wù)器的數(shù)據(jù)，從而掌握用戶的代理服務(wù)器地址。然后，它嘗試在后臺(tái)悄悄創(chuàng)建多個(gè)線程，與黑客指定的遠(yuǎn)程服務(wù)器2*1.2*7.17.2*6建立通訊，隨時(shí)等待接受黑客的指令，使得用戶的計(jì)算機(jī)完全處于黑客的控制之下。
    二、“網(wǎng)游盜號(hào)木馬14452”(Win32.Troj.AgentT.fm.14452) 威脅級(jí)別：★
    病毒進(jìn)入用戶的電腦系統(tǒng)后，在系統(tǒng)盤(pán)中釋放出4個(gè)病毒文件，分別為%WINDOWS%\system32\目錄下的avwgein.dll、avwgemn.dll、avwgest.exe，以及%WINDOWS%\Fonts\目錄下的msguasd.fon。隨后，它修改注冊(cè)表，將自己相關(guān)數(shù)據(jù)寫(xiě)入其中，達(dá)到隨系統(tǒng)啟動(dòng)而啟動(dòng)之目的。
    當(dāng)開(kāi)始運(yùn)行后，病毒首先會(huì)在系統(tǒng)盤(pán)中搜索windows系統(tǒng)的第KB908531項(xiàng)安全補(bǔ)丁文件verclsid.exe，發(fā)現(xiàn)后立刻將它刪除。接著，病毒不斷注入當(dāng)前已啟動(dòng)的進(jìn)程中，并自動(dòng)判斷注入的進(jìn)程是否為ElementClient.exe這一項(xiàng)，如果是，就立刻展開(kāi)監(jiān)控程序，截獲用戶的帳號(hào)和密碼等數(shù)據(jù)。
    順利得手后，病毒就在用戶無(wú)法察覺(jué)的情況下建立遠(yuǎn)程連接，把盜取所得的帳號(hào)信息發(fā)送至http:/ /www.3**678.cn/x**q/97wg/post這個(gè)由木馬種植者指定的接收網(wǎng)址，給用戶造成虛擬財(cái)產(chǎn)的損失。由于ElementClient.exe這一名稱(chēng)被《武林外傳》、《完美世界》、《誅仙》等多款網(wǎng)絡(luò)游戲采用，因此，該病毒的影響面積也較大。
    金山反病毒工程師建議
    1.安裝專(zhuān)業(yè)的殺毒軟件進(jìn)行全面監(jiān)控，防范日益增多的病毒。用戶在安裝反病毒軟件之后，應(yīng)將一些主要監(jiān)控經(jīng)常打開(kāi)(如郵件監(jiān)控、內(nèi)存監(jiān)控等)、經(jīng)常進(jìn)行升級(jí)、遇到問(wèn)題要上報(bào)，這樣才能真正保障計(jì)算機(jī)的安全。
    2.由于玩網(wǎng)絡(luò)游戲、利用QQ聊天的用戶數(shù)量逐漸增加，所以各類(lèi)盜號(hào)木馬必將隨之增多，建議用戶一定要養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣，及時(shí)升級(jí)殺毒軟件，開(kāi)啟防火墻以及實(shí)時(shí)監(jiān)控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機(jī)。