威金”后台盗号利用联众漏洞传播

gao0907

威金”后台盗号利用联众漏洞传播
    8月4日，据江民反病毒中心监测数据显示，上周该中心共截获新病毒18969种，全国共有359761台计算机感染了病毒，较前一周上升了7.29%。其中盗号类病毒及利用应用软件漏洞传播的病毒均有小幅上升趋势，用户应提高警惕。
    值得引起关注的是，上周监测到的“威金”变种bab病毒，该病毒不仅能够在被感染计算机的后台监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的帐号、密码等私密信息，同时还能查找并强行关闭大量安全软件（无法关闭江民杀毒软件KV2008），阻止安全软件的运行，极大地降低被感染计算机的安全性。
另外上周还监测到一个可以利用应用软件漏洞传播的“代理木马”变种im病毒，该病毒会内嵌在正常网页中，如果用户计算机没有及时升级修补“联众世界”以及“Real Player媒体播放器”相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种im的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量网游木马、后门等恶意程序并在被感染计算机上自动调用运行，给用户带来严重的损失。
江民反病毒专家建议广大用户，一定要选用具备“主动防御”和“自我保护”功能的杀毒软件，上网时要开启江民杀毒软件的实时监控功能，在输入网上银行、网络游戏等帐号密码时，可以使用“江民密保”等专业工具，有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。同时江民反病毒专家特别指出，江民杀毒软件KV2008拥有强大的自我保护技术，能够利用驱动程序在系统最底层提供强大而全面的保护，该保护措施阻止了目前所有已知的破坏手段，保证了软件的顺利运行。
     
  Worm/Viking.bab“威金”变种bab是“威金”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“威金”变种bab是由“威金”病毒主体释放出来的DLL组件，通过修改注册表实现蠕虫开机自动运行。“威金”变种bab运行后，在临时文件夹下释放一个驱动文件并加载运行。启动“iexplore.exe”进程，将恶意代码注入其中运行，隐藏自身，躲避安全软件的查杀。查找并强行关闭大量安全软件，阻止安全软件的运行，极大地降低了被感染计算机的安全性。采用HOOK技术和内存截取技术，在被感染计算机的后台监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、身上装备、背包装备、角色等级、游戏区服、计算机名称等信息，并在被感染计算机的后台将窃取到的玩家游戏帐号信息发送到骇客指定的远程服务器站点上，造成玩家的游戏帐号、装备物品、金钱等丢失。
   TrojanDownloader.JS.Agent.im“代理木马”变种im是“代理木马”木马下载器家族的最新成员之一，采用javascript脚本语言编写，并且经过加密处理，利用“联众世界”中某ActiveX控件栈溢出漏洞以及“Real Player媒体播放器”漏洞传播其它病毒。“代理木马”变种im一般内嵌在正常网页中，如果用户计算机没有及时升级修补“联众世界”以及“Real Player媒体播放器”相应的漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种im的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载大量恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能为是网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。