细水 2006.12.22

业界新闻

安装钩子盗取武林外传账号的木马(附防御策略)

  今日提醒用户特别注意以下病毒:“武林外传变种cd”(Troj.Wulin.cd)和“ShangXin”(Troj.ShangXin)。

  “武林外传变种cd”(Troj.Wulin.cd)木马病毒,安装钩子对系统进程进行监视,轻易获取用户信息。

  “ShangXin”(Troj.ShangXin)木马病毒,利用网页文件图标,诱惑用户误点击运行而导致感染。

一、“武林外传变种cd”(Troj.Wulin.cd)威胁级别:

  病毒特征:这是一个盗取网游《武林外传》账号信息的木马。

  发作症状:病毒运行后会释放dll文件注入其他进程,添加特定注册表项,使系统开机自启动;注入explorer进程、设置计时器,安装钩子对系统中的进程进行监视,将获取的用户信息发送到指定邮箱里。

二、“ShangXin”(Troj.ShangXin)威胁级别:

  病毒特征:这是一个木马病毒。

预防木马病毒方法:
1.大多数的木马病毒程序为达到下次随计算机启动而自动加载的目的,一般都会将自身隐藏于系统的一些启动项中,利用Windows系统在启动过程中会自动加载某些特定位置所指向的程序的特点,达到每次跟随系统启动而加载的目的。
2.因为木马病毒的文件名可以千变万化,往往同一种木马其文件名可能完全不同,要有效地检测出木马病毒,必须通过动静结合的方法来实现。

  发作症状:病毒采用网页文件图标,诱惑用户误点击运行而导致感染。该病毒运行时删除自身并将其自身病毒副本拷贝到系统目录下,不利于病毒的清除。同时,病毒控制用户主机,通过此台机器向其他机器发起远程攻击,并借此窃取用户重要资料、窥探用户隐私、改变用户系统设置等破坏性动作。

三、病毒行为分析

武林外传盗号木马 lexplore.exe Wlgx.dll 手工清除方法新变种,,产生文件仍在临时目录,木马运行后复制自身到临时目录:
%temp%\Wla3\lexpl0re.exe
释放库文件:%temp%\gxWl.dll注入进程。
创建自启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Wlmy3"="%temp%\Wla3\lexpl0re.exe"

四、手工清除步骤

1. 删除木马的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Wlmy3"="%temp%\Wla3\lexpl0re.exe"
2. 重新启动计算机
3. 删除木马文件和目录:
%temp%\Wla3\
%temp%\gxWl.dll

五、McAfee 防御策略
对于这个木马其实很简单,就是启动缓存文件temp里生成的一个文件,并在注册表里调用启动他,只要我们禁止在缓存文件中启动exe程序即可防御。
打开Mcafee控制台

访问保护

共享资源和文件夹保护

添加

规则名称
阻挡temp启动类木马运行
要阻挡的内容
*
要阻挡的文件或文件夹
%temp%\*.exe
要阻挡的文件操作
[color=Red][√]读取文件
[√]写入文件
[√]执行文件
[ ]创建新文件
[ ]删除文件[/color]


您可以随意转载,但必须在显著位置标明 原创链接 和本 版权声明

本文链接: http://www.mcafeefans.com/?p=205

3 评论

  1. 有盗号工具吗??  我的号被盗N次了!! 也让被盗者舒坦舒坦!!

    作为男人,反亦盗并非什么英明之举,做好保密措施,玩好的代理商代理的游戏,确保自己的装备不被扒走。
    [抽烟]这个网站比较实在,可以学很多东西,还可以学细水骂瑞星[偷笑]

  2. 有盗号工具吗??  我的号被盗N次了!! 也让被盗者舒坦舒坦!![抽烟][发火]

  3. 我要下载木马

Pingback / TrackBack

发表评论

电子邮件地址不会被公开。

:wink: :twisted: :roll: :mrgreen: 8) :-D :arrow: :-o more »

返回页首返回页尾