投票
标题:病毒越来越智能:模拟鼠标点击允许按钮
grape0915 (grape)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
自己玩


论坛达人  百目惠识  
UID 6757
精华 7
积分 253264
帖子 8391
狼毛 507482 根
阅读权限 110
注册 2005-8-24
来自 canton
状态 离线
发表于 2007-12-11 18:12 资料 短消息  加为好友 
病毒越来越智能:模拟鼠标点击允许按钮

出处:cnbeta

  “POPHOT点击器变种 103284”(Win32.Troj.Pophot.103284),这是一个具有盗号木马功能的广告病毒.它会弹出广告、修改IE 主页,还会窃取本地保存的 Internet Explorer, Outlook Express 和 MSN Explorer 密码.病毒会在非系统盘中生成AUTO病毒文件,并尝试关闭一些安全软件,以便能下载病毒到本地运行.

  一、“POPHOT点击器变种103284”(Win32.Troj.Pophot.103284) 威胁级别:★★

  病毒进入电脑系统后,在系统盘中释放出六个病毒文件,分别是%windows%\ system32\目录下的winsys16_071031.dll、winsys32_071031.dll、AlxRes071031.exe文件, %windows%\system32\inf\目录下的scrsys071031.scr、scrsys16_071031.dll文件,以及% windows%目录下的mwinsys.ini文件.然后,病毒就建立一个批处理程序myDelm.bat 来删除自己的源文件,以避免用户发现.接着,病毒修改注册表启动项,把自己的相关信息加入其中,达到随系统自动启动之目的.

  开始运行后,病毒会以最快的速度检查系统中已安装的安全软件,如发现它们试图弹出警告框提醒用户系统正遭受入侵,就会立刻模拟鼠标点击允许按钮来屏蔽提示和警告,给自己争取到下一步行动的时间.紧接着,它搜索卡巴斯基、360 安全卫士、瑞星、江民等安全软件厂商的产品,并尝试把它们强行关闭.

  然后,病毒修改IE浏览器、百度工具条、GOOGLE 工具条、雅虎助手等工具的数据,把大量广告网站、以及含毒网站的信息加入它们的白名单,同时在桌面和收藏夹中生成这些网站的快捷方式,诱使用户点击.它还会试图通过枚举数值的方法来获取用户保存在本机的Internet Explorer、Outlook、MSN的密码.

  此外,该病毒还会在所有非系统盘中生成 AUTO病毒文件AUTORUN.INF,只要用户双击打开磁盘,病毒就会被再次激活.此后,如果用户在中毒电脑上使用U盘等移动存储器,病毒就会立即将其传染.

  二、“杀软封印下载器”(Win32.Troj.Autorun.56832) 威胁级别:★★

  病毒运行后,会在系统盘的%windows%\system32\目录下释放出病毒文件TxHMoU.Exe,并在全部的磁盘分区中生成AUTO病毒文件AUToRUN.Inf和soS.Exe.只要用户双击打开含毒磁盘,病毒就会立刻被激活.如果用户在这台电脑上使用U盘等移动存储器,病毒也会立即将其传染,以扩大自己的势力范围.

  随后,病毒修改注册表,将自己的相关信息加入其中,达到随系统自启动之目的,并连接病毒作者指定的网址http://1**.10.1**.1*6,下载最新的病毒配置文件.同时,病毒还会修改注册表的其它部分,禁用任务管理器、禁止自动升级、禁止显示隐藏文件、修改IE主页、禁止用户修改IE主页……经过一番“手术”后,用户的操作将变得极为不便,而且当用户试图访问任何与杀毒及系统安全有关的网页时,IE浏览器就会被立刻强行关闭,而病毒却可以畅通无阻的下载大量病毒到用户系统中运行,给用户造成巨大的损失.

 顶部
那巴尔
欢喜的慈雨
Rank: 5Rank: 5Rank: 5Rank: 5Rank: 5



UID 8713
精华 2
积分 1748
帖子 1221
狼毛 2613 根
阅读权限 40
注册 2005-11-5
状态 离线
发表于 2007-12-11 20:44 资料 短消息  加为好友 
有创意!

 顶部
 



当前时区 GMT+8, 现在时间是 2024-11-24 09:33
苏ICP备2024131517号

Powered by Discuz! 5.5.0 © 2001-2007
Processed in 0.008459 second(s), 7 queries, Gzip enabled

清除 Cookies - 联系我们 - 狼窝 - Archiver - WAP