“视窗杀手248”(Win32.KillWin.jz.248),这是一个极具破坏性的恶作剧病毒程序。它利用感染正常的exe格式文件进行传播,病毒会删除C:盘中的boot.ini、ntldr、bootmgr等重要的系统启动文件,造成用户在下一次使用电脑时,系统无法启动。
“虚假登录盗号者212480”(Win32.Troj.OnLineGames.ly.212480),这是一个盗号木马程序。该程序会创建多款网络游戏的虚假服务器,骗取用户登陆,从而盗取用户的帐号相关信息。
一、“视窗杀手248”(Win32.KillWin.jz.248) 威胁级别:★★
在见惯了各式各样的盗号木马后,突然发现一个传统的破坏型病毒实在是让人有种“眼前一亮”的感觉。不过这可不是什么好事,因为它给你带来的麻烦也许会超过被偷走游戏账号的程度。
这个病毒可利用所有exe格式的可执行文件进行传播,它将病毒代码寄生在被感染文件的节空闲处,当用户运行被感染的文件时,病毒就会被激活。它会从被感染文件中分离出来运行,让原始文件正常运行,而它却在c:盘根目录下悄悄地进行搜索,删除所有能找到的boot.ini、ntldr、bootmgr文件。
由于这些文件都是系统启动时需要调用的重要文件,刚刚被删除时,系统不会出现任何异常,但当用户下次再开机,就会发现电脑根本无法启动。虽然修复病毒造成的破坏并不复杂,但这已经足以给用户的正常使用带来很大的麻烦。如果是商业电脑中了此毒,那甚至可能会令用户蒙受巨额的经济损失。
不幸中的万幸是,由于该病毒并不不完善,它只能删除c:盘下的系统文件,如果你的系统盘不在c:盘,就不会受到任何影响。
二、“虚假登录盗号者212480”(Win32.Troj.OnLineGames.ly.212480) 威胁级别:★★
这是一个针对台湾省岛内运营网游的盗号木马。它采取伪造服务器登录页面的“钓鱼”手段来盗取网游帐号和密码,由于伪装度非常高,并且不对游戏进程进行注入,作案成功率较高。广大网游玩家需提高警惕。
病毒会通过网页挂马、捆绑其它软件等方法混进电脑,然后将病毒文件rinter.dll和rinter.exe释放到系统盘的%WINDOWS%\Web\printers\images\目录下,其中rinter.dll的相关数据会被写入系统注册表,以实现开机自启动。
成功启动后,病毒会自己创建出多款网游服务器的虚假登录窗口。经毒霸反病毒工程师分析,发现该病毒共伪造得有《乱(Ran) online》、《魔兽世界》、《天堂》,《FZG》、《黄易群侠传》等5款台湾热门网游的登录窗口。假窗口看上去和真的一模一样,但只要用户从伪造的窗口登录,帐号和密码就会被记录下来,发送到病毒作者指定的地址上,实现盗号。
墨者安全专家建议:
1.建议已安装其他杀毒软件的用户,下载并安装墨者安全专家版,并开启“革离术”保护自己的杀毒软件,和其它计算机安全软件不会被此病毒所关掉,和破坏。以保障所使用的计算机安全防护软件能正常的运行和所有功能的正常使用。
2.点击墨者安全专家控制台——选择漏洞补丁——选择禁止优盘光驱自动运行。
3.请开启墨者安全专家的“革离术”进行实时防护,并使用系统安全漏洞中心,检查系统漏洞,发现漏洞请点击“修复”完成漏洞修补。
4.保持使用墨者安全豪华版套装中的正版趋势反病毒专家,进行对系统病毒经常扫描的习惯,发现病毒或者隐患及时清除。
5.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启,保持自动更新为最新病毒库,保证病毒及木马的及时发现及清除。
墨者安全专家最佳保护状态:
.jpg)