“殺手”假冒防毒軟體 ，“蜜賊”偽裝圖片後台盜號

PuPu

　　上周監測到，“系統殺手”變種af和“蜜賊”變種e病毒值得引起關注。
　　“系統殺手”變種af病毒，會通過修改註冊表和註冊為系統伺服兩種方式實作木馬開機自動執行，提升自身權限，強行關閉某些安全軟體，強行篡改註冊表內容，禁止使用者執行安全樣式，找到並感染大量.exe檔案，導致.exe檔案無法正常執行。同時，病毒會與駭客指定的伺服器建立網路連線，使駭客遠端控制被感染電腦，給使用者的個人隱私甚至是商業機密造成嚴重威脅。特別值得關注的是，該病毒還會將自身的圖示偽裝成網頁圖示，並且修改自身描述為“線上修復Anti Virus”，誘騙使用者點擊執行，反病毒專家特別提醒廣大使用者注意辨識。
　　另外上周監測到的“蜜賊”變種e病毒會將自身圖示偽裝成圖片檔案圖示，誘騙使用者點擊執行。病毒執行後會釋放木馬元件檔案，並將其插入到所有使用者級行程中加載執行，隱藏自我，防止被查殺。同時病毒會在被感染電腦後台利用HOOK技術與記憶體截取技術，祕密竊取網路遊戲玩家的賬號、密碼等私密訊息，並將其傳送到駭客指定的遠端伺服器上，給遊戲玩家帶來非常大的損失。“蜜賊”變種e還具有強行關閉某些安全軟體、躲避某些防火牆監控的功能，極大地降低了電腦的安全性。
　　反病毒專家建議廣大使用者，一定要選用具備“主動防禦”和“自我保護”功能的殺毒軟體，上網時要開啟殺毒軟體的即時監控功能。同時專家特別指出，由於病毒普遍採用了較為先進的隱藏技術，普通的安全工具軟體根本無法查出，因此千萬不要因為已經裝設了網上免費的安全工具軟體而掉以輕心，給自己的財產帶來巨大的損失。      
　　上周值得關注的典型病毒：“系統殺手”變種af和“蜜賊”變種e
病毒標簽：Trojan/AntiAV.af
中 文 名：“系統殺手”變種af
病毒長度：61440位元
病毒型式：木馬
危險層級：★★
影響平薹：Win 9X/ME/NT/2000/XP/2003
   Trojan/AntiAV.af“系統殺手”變種af是“系統殺手”木馬家族的最新成員之一，採用VC++編寫。“系統殺手”變種af執行後，在被感染電腦系統的“%SystemRoot%”目錄下和“%SystemRoot%system32”目錄下建立數個病毒副本，文檔名隨機產生。通過修改註冊表和註冊為系統伺服兩種方式實作木馬開機自動執行。提昇自身權限，強行關閉某些安全軟體，大大地降低了被感染電腦的安全性。強行篡改註冊表內容，禁止使用者執行安全樣式。回圈監測視窗標題，一旦發現使用者開啟工作管理員便將其關閉。在後台連線駭客指定的伺服器站台，下載惡意常式並自動呼叫執行，給使用者帶來一定程度的危害。與駭客指定的伺服器建立網路連線，駭客可通過“系統殺手”變種af遠端控制被感染的電腦，給使用者的電腦安全和個人隱私，甚至商業機密造成嚴重威脅。找到並感染大量*.exe檔案，導致*.exe檔案無法正常執行，可能會給使用者帶來極大的損失。另外，“系統殺手”變種af還會將自身的圖示偽裝成網頁圖示，並且修改自身描述為“線上修復Anti Virus”，誘騙使用者點擊執行，請廣大使用者注意辨識。

病毒標簽：TrojanDropper.Crypter.e
中 文 名：“蜜賊”變種e
病毒長度：117248位元
病毒型式：木馬釋放器
危險層級：★★
影響平薹：Win 9X/ME/NT/2000/XP/2003
   TrojanDropper.Crypter.e“蜜賊”變種e是“蜜賊”木馬釋放器家族的最新成員之一，採用高階語言編寫，並經過加入保護殼處理。“蜜賊”變種e將自身圖示偽裝成圖片文檔的圖示，誘騙使用者點擊。“蜜賊”變種e執行後，在被感染電腦系統的“%SystemRoot%system32”目錄下釋放病毒檔案“kavo.exe”，並將其加入為啟動項，實作木馬開機自動執行。在“%SystemRoot%system32”目錄下釋放木馬元件檔案“kavo0.dll”，並將其插入到所有使用者級行程中加載執行，隱藏自我，防止被查殺。破壞註冊表，導致被感染電腦系統無法顯示隱藏檔。在被感染電腦後台利用HOOK技術與記憶體截取技術，祕密竊取網路遊戲玩家的遊戲賬號、遊戲密碼、倉庫密碼、角色等級等訊息，並在後台將玩家訊息傳送到駭客指定的遠端伺服器上，致使玩家的遊戲賬號、裝備物品、金錢等丟失，給網路遊戲玩家帶來非常大的損失。另外，“蜜賊”變種e還具有強行關閉某些安全軟體、躲避某些防火牆監控的功能，極大地降低了被感染電腦上的安全性。

夜痕

謝謝大大的分享~~~~~~~~~~~~~