病毒预警一周播报(2004年01月26日至02月01日)

本周重点关注病毒：
　　一、盗号木马：“剑侠幽灵”（Win32.Troj.JXGhost）★★
该病毒窃取网络游戏——“剑侠情缘网络版”的账号密码和充值点卡密码，当玩家试图为游戏账号充值时，驻留在系统中的木马会用另外一个虚假页面替换真正的充值页面，从而收集玩家的密码，导致玩家充值失败。以下是该病毒的详情：



技术特点：
A.将病毒自身拷贝到 %system% 目录下，名为"winlogn.exe"，文件名看上去像系统文件"winlogon.exe"。
B.在注册表中如下位置添加键值，以便启动时自动运行。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"winlogn.exe" = "%system%winlogn.exe"

C.该病毒运行后，会不断监视系统窗口，一旦出现剑侠情缘网络版的点卡充值页面，就会用病毒作者事先做好的一个假页面来替换真正的充值页面，同时隐藏充值页面的地址栏，欺骗用户，从而收集玩家的剑侠密码和充值点卡密码，导致玩家充值失败。

D.病毒收集到密码后，会将其保存在 %system%winlogn.dat，然后通过邮件发送给病毒中指定的邮箱地址。


解决方案：
A.通过金山毒霸进行全盘杀毒。
B.在注册表中如下位置删除相关键值
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"winlogn.exe" = "%system%winlogn.exe"

C.防范措施
在为点卡充值时，显示浏览器的地址栏，查看充值页面地址是否为官方地址。


　　木马：“凯文”（Win32.Troj.IELockaogo）★★
　　该病毒感染系统后，会在启动浏览器时主动弹出多个页面，严重影响系统速度，消耗大量系统资源，该病毒还以多种方式隐藏在系统中，不易手动清除。以下是该病毒的详情：

技术特点：
　　A.释放病毒文件Registry.exe和sirhide.exe到%System%目录下.
　　B.在注册表的主键:
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
　　中添加如下键值:
　　 "Registry"="%System%Registry.exe"

　　在注册表的主键:
　　HKEY_CLASSES_ROOTtxtfileshellopencommand
　　修改如下键值:
　　默认="%System%sirhide.exe "%1"
　　以便该病毒在您每次打开一个.txt 文件时运行

　　在注册表的主键:
　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain和
　　HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMain
　　修改如下键值:
　　"Online_Support","Search Page"和"Start Page"="http://www。aogo。net/"


解决方案：
　　A.使用反病毒软件清除
　　B.手工清除: a.杀掉进程; b.删除%System%/Resistry.exe文件; c.恢复注册表




专家提醒：

　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（www.duba.net）上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；
　　duba.net 现已推出“在线病毒日历”，及时为您播报近期危险病毒，敬请关注；

　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；

　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。

(本文来自金山网站）

上一篇：请教，我的机器没有复制功能了

下一篇：网友常见问题及解答（不断增加）

昵称 (必填)

验证码 (必填)