“窃贼Ld”突破防火墙 “小偷派克斯”伪装系统蓝屏

gao0907

“窃贼Ld”突破防火墙 “小偷派克斯”伪装系统蓝屏

    7月21日据江民反病毒中心监测数据显示，上周该中心共截获病毒26445种，全国共有484330台计算机感染了病毒，较前一周上升了4.01%。
    上周江民反病毒中心监测到一个可以窃取多种即时通讯工具聊天记录及账号、密码的“窃贼Ld”变种ceo病毒。值得关注的是，该病毒运行后，会循环检测正在运行的窗口标题，一旦发现Windows防火墙程序弹出拦截窗口，则立刻模拟鼠标，点击“允许”按钮，给窗口发送消息。同时病毒会在后台秘密收集被感染计算机系统的信息，从某些常用的邮件软件中获取已保存的用户名、密码、邮箱地址等机密信息，以邮件的形式发送到骇客指定的远程服务器上，给用户带来严重的损失。
    另外上周还监测到一个“小偷派克斯”变种aye病毒，该病毒会释放“phcpodj0eg11.bmp”图片，将其替换为系统当前的桌面，同时释放伪装成系统蓝屏错误的屏保程序，使用户误以为电脑程序出现问题。与此同时，该病毒还会连接骇客指定站点，下载网游木马、广告程序、后门等恶意程序，给用户带来不同程度的损失。另外，该病毒还实现了开机自动运行及安装完毕后自我删除的功能。
    江民反病毒专家建议广大用户，可以选用具备“主动防御”和“自我保护”功能的杀毒软件，上网时一定要开启江民杀毒软件的实时监控功能，在输入网上银行、网络游戏等帐号密码时，可以使用“江民密保”等专业工具，有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。
      
    上周值得关注的典型病毒：“窃贼Ld”变种ceo和“小偷派克斯”变种aye

   Trojan/PSW.LdPinch.ceo“窃贼Ld”变种ceo是“窃贼Ld”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“窃贼Ld”变种ceo运行后，循环检测正在运行的窗口标题，一旦发现某些安全软件或者是Windows防火墙程序弹出拦截窗口，则立刻模拟鼠标，点击“允许”按钮，给窗口发送消息。在后台秘密收集被感染计算机系统的信息（包括硬盘的可用空间、用户名、计算机名、操作系统版本号、计算机安装的程序等）。查找MirandaIM软件（如果被感染计算机上已经安装）的数据文件，可能会窃取用户的QQ，ICQ，MSN，Yahoo等即时通讯工具的聊天记录甚至账号、密码等私密信息。查找某些常用的FTP软件，获取文件中保存的用户账号、密码等信息；从某些常用的邮件软件中获取已保存的用户名、密码、邮箱地址等机密信息，以邮件的形式发送到骇客指定的远程服务器上，给用户带来不同程度损失。
    Trojan/Pakes.aye“小偷派克斯”变种aye是“小偷派克斯”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“小偷派克斯”变种aye运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名为“lphcpodj0eg11.exe”。将自身添加为启动项，实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放图片“phcpodj0eg11.bmp”并替换系统的当前桌面。在相同目录下释放屏保程序“blphcpodj0eg11.scr”并运行，该屏保伪装成系统的蓝屏错误。连接骇客指定站点，下载恶意程序，所下载的恶意程序可能包含网游木马、广告程序、后门等，给用户带来不同程度的损失。另外，“小偷派克斯”变种aye安装完毕后会自我删除。