logogo新变种 警惕系统.exe文件失效

　　“间谍感染虫”（Worm.AutoRun.al.151552）最新logogo变种，释放病毒文件至系统文件夹和每个硬盘根目录，劫持大部分杀毒软件。感染硬盘几乎所有exe文件。

　　一、“网游盗号木马165969”(Win32.PSWTroj.OnlineGames.kl.165969) 威胁级别：★

　　病毒进入电脑后，释放出三个病毒文件，分别为%WINDOWS%目录下的TIMHost.exe，以及%WINDOWS%\system32\目录下的SVKP.sys和TIMHost.dll，然后修改注册表启动项，把自己主文件TIMHost.exe的相关数据写入其中，实现开机自启动之目的。

　　病毒运行后，在系统中查找网络游戏《魔域》和“浩方”对战平台的进程，如果发现，就把DLL文件加载到其中，利用读取内存的方式盗取用户的账号信息。

　　如成功得手，病毒就在用户无法察觉的情况下建立远程连接，通过网页提交的方式把相关信息发送到木马种植者指定的网址http://www.x*****520.com/zhanggui3/lin1.asp，给用户造成虚拟财产的损失。

　　二、“间谍感染虫151552”(Worm.AutoRun.al.151552) 威胁级别：★

　　如果病毒顺利进入了用户系统，它会在系统盘的%WINDOWS%\Fonts\system\目录下释放出病毒主文件ati2evxx.exe，并在全部磁盘分区的根目录下生成AUTO病毒文件ntldr.exe和autorun.inf。只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会立即将其传染。

　　文件释放完毕后，病毒修改系统注册表启动项中的相关数据，使自己实现开机自启动。当它运行起来，就迅速查找并劫持已安装的安全软件，造成它们失效，几乎所有著名安全软件都在它的“黑名单”中。而被解除武装的电脑，会很容易受到外部恶意程序的攻击。

　　接着，病毒搜索并感染电脑上的EXE文件，除系统目录、QQ聊天软件，以及少数游戏程序漏网之外，几乎所有EXE文件都会被感染。它会向被感染的文件中新增.ani节，并修改入口点为病毒的代码起始位置，被感染文件运行后会释放一个名为ani.ani的临时文件并运行，然后使用ani.ani.bat删除自身，使得用户无法找到病毒源。

　　完成以上步骤后，病毒就开始收集用户计算机名字和网卡物理地址等信息，发送至木马种植者指定的远程网址http://i*2.3**86.com，并统计中毒者人数。同时，它还尝试连接hxxp://m.8q8.xxx、hxxp://a.9gg.xxx、hxxp://f.935425.xxx等多个由木马种植者指定的地址，下载更多恶意程序至用户计算机。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

 

相关文章