Board logo

标题: [转帖]警惕最新木马“敲诈者”! [打印本页]

作者: hao123    时间: 2006-6-15 14:33     标题: [转帖]警惕最新木马“敲诈者”!

转帖:警惕最新木马“敲诈者”!
来自安天实验室:
http://www.antiy.com/index.htm
内容:
   本周提醒广大用户谨防最新“敲诈”型木马:Trojan.Win32.Pluder.a 。
  该病毒属木马类,病毒盗用windows xp下应用程序"磁盘清理"图标,病毒运行后弹出对话框,要求输入正版序列号,向指定账户汇款等。病毒运行后复制原病毒副本到系统文件夹下,病毒在本地磁盘根目录下新建一个文件夹,并搜索本地磁盘上的用户常用格式文档,将搜索到的文件移动到上述备份文件夹中,造成一个用户常用文档丢失的假象,继而达到敲诈的目的,病毒同时还会新建两个文本文件,在"开始菜单\所有程序\启动"菜单下建立指向该文本文件的快捷方式。病毒运行后还会尝试结束某些进程,尽量阻止用户清除该病毒文件。
  病毒运行后尝试搜集以下扩展名的文件,并将这些文件移动到一个新建的文件夹中,造成文档丢失的假象。
.xls
.doc
.mdb
.ppt
.wps
......
病毒运行后在以下键值添加新键,达到随系统启动的目的:
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
病毒通过获取当前进程,同病毒的内置进程列表进行比较,若匹配不成功,则将该程结束,病毒内置进程列表如下:
EXPLORER.EXE
HCOUNT.EXE
MSTASK.EXE
DDHELP.EXE
STIMON.EXE
WMIEXE.EXE
CTFMON.EXE
SPOOLSV.EXE
SYSTEM
SYSTEM IDLE PROCESS
CISVC.EXE
MSIEXEC.EXE
RSFSA.EXE
SMLOGSVC.EXE
DMADMIN.EXE
CLIPSRV.EXE
LOCATOR.EXE
......
详细分析请看(Trojan.Win32.Pluder.a分析)
安天CERT忠告广大用户:
1.及时下载并安装系统补丁。
2.不要轻易点击即时聊天工具和论坛中的不明链接,不要执行可信度不高的程序。
3.使用安天木马防线2005+,并及时升级,为您的系统提供透明的保护。

附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net





欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2