您的位置:IT在中国 >> 业界新闻 >> 业界新闻 >> 正文
该病毒主要功能为窃取游戏《刀剑Online》的用户密码;病毒在被感染的系统上以隐蔽的方式运行,用户无法通过正常的方法禁止其运行。
1.病毒运行后会将病毒创建副本以及释放动态库文件到本地系统中的指定位置,放出文件后执行脚本文件会将自身删除:
%WinNT%\Fonts\cadaafx.fon
%System%\sidjhzy.dll
%System%\sidjhaz.exe
%WinNT%\Fonts\sidjhcsa.dll
其中sidjhzy.dll为病毒释放的动态库文件,病毒将加载此动态库实现主要功能; cadaafx.fon和sidjhcsa.dll为配置文件,存放病毒通信地址;病毒会将idjhzy.dll的属性设置为系统隐藏, sidjhcsa.dll的文件属性设置为Normal。病毒会放出文件名以DFD开头的脚本文件,病毒运行后会调用脚本实现病毒原文件的自删除,删除后,脚本文件会自动删除本身。
2.病毒的主要功能通过加载其释放出的动态库sidjhzy.dll实现,其动态库文件的具体功能如下:
(1)病毒会通过挂键盘和鼠标的钩子将动态库文件驻入到接收键盘和鼠标消息的进程中。
(2)病毒会结束TQAT.exe(反外挂软件)进程。
(3)病毒会结束游戏进程BO.EXE使得用户重新登陆偷取用户登陆信息。
(4)病毒将起线程直接到内存中读取指定数据,获取用户的信息,通过HTTP方式发送到木马散播者的设定的URL---Http://www.XXXXXX.cn/xk4/post.asp中。
(5)病毒会添加或修改如下注册项,破坏系统的安全设置(禁用Windows自动更新、禁用防火墙的功能):
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\ Standard Profile
Enable Firewall = 0
添加如下注册表项实现病毒DLL的注入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = SIDJHZY.DLL HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks"{88847374-8323-FADC-B443-4732ABCD3788}" = SIDJHZY.DLL
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.22.31版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。