木马伪装金山网镖 毒霸用户警惕上当

　　　"灰鸽子变种333312"(Win32.Hack.Huigezi.333312)这是一个灰鸽子的变种。病毒运行后衍生病毒文件到系统目录下，修改注册表，创建服务，并以服务的方式达到随机启动的目的;病毒运行后开启后门,让黑客可远程控制用户机器。

　　"网镖伪装盗号者"(Win32.PSWTroj.WoW.dg.73728)这是一个木马程序.运行后该木马会把自身复制到C盘根目录并会伪装成标题名为金山网镖的窗口，并会对运行着的进程遍历查找，判断是否存在WoW.exe(魔兽世界)进程，获取WoW.exe进程的窗口文本信息，将获取到的信息发送到指定的邮箱，和网页.

　　一、"灰鸽子变种333312"(Win32.Hack.Huigezi.333312) 威胁级别：★

　　这是一个典型的灰鸽子后门程序。该病毒运行后，会在%windows%下产生黑客远程控制的客户端lsuss.exe病毒文件。并且同时，会在注册表中添加服务"Network Connections Manage",添加该服务的主要作用是管理“网络和拨号连接”文件夹，可以查看局域网和远程连接。病毒还会创建一个隐藏的IEXPLORE.EXE进程，病毒文件lsuss.exe会注入到该进程，由于该进程隐藏的，一般无法轻易查找出，所以黑客可以通过此方式，悄悄的获取用户机器上的信息和进行非法操作，给用户的系统安全带来极大的危害。

　　二、"网镖伪装盗号者"(Win32.PSWTroj.WoW.dg.73728) 威胁级别：★

　　该病毒运行成功后，会在桌面弹出一个伪装成“金山网镖”的窗口，由于没有通过任何的技术手段来维持此窗口，所以轻易就能被关闭。此时，用户的各盘里已经生成了AUTO病毒，包括explorer.exe病毒文件和autorun.inf辅助文件。当用户鼠标左键双击进入有AUTO病毒的时候，将会触发AUTO病毒。病毒还会自动添加到启动项里，对应的病毒路径是：%windows%\system32\explorer.exe，当用户重启系统时，病毒会随着系统的启动而运行。病毒还会遍历进程，假如搜寻到有WOW.EXE(魔兽世界)进程时，则进行盗号操作。将成功盗取的帐号信息回传到指定的网页和邮箱，详细信息为

　　www.oo***ans.com

　　77***707@163.com

　　77***991@163.com

　　该病毒会造成用户的网络虚拟财产遭到重大损失。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等)，遇到问题要上报， 这样才能真正保障计算机的安全。

　　2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

标签： 安全 防火墙 开启防火墙 网络 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。