03月 25th, 2008 -
征途盗号木马32”(Win32.Troj.Iespy.au)
这是个《征途》的盗号木马,具有对抗部分杀毒软件的能力,但如果安装这些杀软的用户及时升级,还是比较安全的。
病毒在进入系统后,释放病毒文件ztinetzt.exe和ztinetzt.dll到系统盘的%WINDOWS%\system32\目录下,并修改注册表实现自启动。病毒运行起来后的第一件事是查看系统中是否安装得有杀毒软件卡巴斯基,如有,则修改系统时间为以前的时间,造成依赖系统时间进行激活和升级的卡巴瘫痪。
同时,它判断是否有卡巴斯基和瑞星的警告提示窗口弹出,如发现,就模拟用户的鼠标点击动作,允许操作。并紧接着查找卡卡巴斯基、瑞星、江民的主程序,把它们完全关闭,彻底扫清自己盗号工作上的障碍。
解决掉杀软的威胁,剩下的工作,就是查找游戏进程,然后注入盗号了。这对病毒来说没任何难度,轻轻松松就能完成。这样一来,用户就损失掉了辛辛苦苦打出来的帐号。
因为现在的大多数木马都具备对抗杀软的功能,因此,建议用户们在系统资源允许的情况下,再安装一份安全辅助软件,这样可以提高系统安全标准。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-iespy-au-50487.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年3月25的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.jinshanduba-2008.org.cn免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。