您当前的位置是： 服务器安全资讯网>业界动态>黑客相关>

黑客程序冒充WINDOWS系统自动升级文件

来源：服安资讯   时间:2008-11-28  作者：  点击：次  责任编辑：Flyfox
TAG:   黑客 升级 系统 文件 程序 自动   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

“魔兽老千盗号器98816”（Win32.Troj.OnLineGames.ad.98816），这是一个网游盗号木马。它在进入用户系统后，就释放出自己的子文件，搜索并盗窃《魔兽世界》的帐号和密码。

　　“黑洞变种492032”（Win32.Hack.Heidong.hk.492032），这是一款黑客程序，主要功能是安装黑洞远程控制服务端，程序运行后释放文件到系统目录，创建自己的远程服务，让黑客可以远程控制客户端电脑。

　　一、“魔兽老千盗号器98816”（Win32.Troj.OnLineGames.ad.98816） 威胁级别：★

　　该毒的子文件的命名具有随机性，病毒母体将它释放到%WINDOWS%目录下，以wow[X]_[X].dll，作为其名称，其中Ｘ为1000以内的随机数。

　　它修改注册表，给自己添加一个服务项。服务名为“Remote TCP/IP”映像路径的指向就是之前释放出的子文件。这样，以后用户每次开机时，它都可以跟着自动运行起来。

　　wow[X]_[X].dll会搜索《魔兽世界》的游戏进程，一旦发现就注入其中，根据病毒作者的设置，进行键盘记录或读取游戏内存，获得玩家的游戏账号和密码。

　　二、“黑洞变种492032”（Win32.Hack.Heidong.hk.492032） 威胁级别：★★

　　这款黑客程序出现在反病毒工程师的视野中已有较长时间，它不断有新变种出现。本篇播报中的变种，主要行为和其它黑客程序一样，是建立远程连接，不过它会采用伪装成WINDOWS升级程序的方法来欺骗用户。

　　它在%WINDOWS%目录下释放出自己的三个子文件，分别为WinLiveUp.dat、WinLiveUp.dll和WinLiveUp.exe，名称看上去都很像WINDOWS系统的升级文件进程。如果是对系统不熟悉的用户，就很容易被欺骗。

　　当顺利潜伏下来，该毒就修改注册表，实现开机自启动，并于下一次开机后，连接病毒作者指定的远程地址，协助黑客入侵用户电脑。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。 (来源：服安资讯)

上一篇：印巴演绎现实版黑客帝国！ 下一篇：黑客工具、各类账户热销 美国竟是盗版源头