动物家园计算机安全咨询中心(www.kingzoo.com)反病毒斗士报:
“控制者”(Backdoor/Win32.Hupigon.jdmi) 威胁级别:★★
    该病毒为灰鸽子变种,病毒运行后复制自身到系统目录,重命名为widows.exe,并删除自身。创建服务,以服务的方式达到随机启动的目的。连接网络下载远程控制端IP地址,主动尝试上线。上线成功后,远程控制端能够对用户机器进行键盘记录,屏幕监控,摄像头抓图,文件操作,进程操作等远程控制。
“偷取者***”(Trojan/Win32.Sasfis.vbw) 威胁级别:★★
    病毒运行后释放随机病毒名文件*.tmp到临时目录下,动态加载E.tmp病毒文件,调用该文件的hfburt模块,该模块代码进行了加密处理,该模块被调用后开启一个svchost.exe进程,拷贝E.tmp到%System32%目录下命名为wdni.buo,并将wdni.buo添加到被开启的svchost.exe中,修改注册表使用rundll32.exe为开机启动衍生的rundll32.dll病毒,病毒运行完后删除自身文件。
“修改者***faf”(Trojan/Win32.StartPage.faf[Dropper])威胁级别:★★
    该病毒为***类,病毒运行后遍历进程,查找杀软相关进程并关闭;删除桌面上的IE浏览器图标,创建一个执行指定主页的网站,在系统目录下衍生病毒配置文件,修改host文件屏蔽部分网址导航网站并将其导航到指定页面;修改注册表添加启动项,修改ie浏览器的默认主页;连接指定的网站发送本地用户相关的信息。
“DNF偷取者”(Trojan/Win32.Vilsel.mry[GameThief]) 威胁级别:★★
    该恶意代码文件为DNF游戏盗号***,该病毒文件为初始化后病毒数据,以获取本地系统时间作为随机值来创建以kb****.dll的随机病毒名文件 ,删除临时目录下的~t11.tmp、~t22.tmp文件,拷贝系统imm32.dll文件到临时目录下,命名为~t11.tmp并在文件尾部添加一个节名为.ss32向该节写入485字节数据,备份系统imm32.dll文件,动态加载"sfc_os.dll"系统文件,调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护,将imm32.dll拷贝到临时目录下命名为~t22.tmp,然后将病毒修改后的~t11.tmp拷贝到系统目录下替换现有的imm32.dll系统文件,以系统库文件开自动加载病毒文件,删除~t11.tmp文件,拷贝病毒源文件到系统目录下命名为kb118151019.dll,匹配所有进程中的0040728C内存地址的数据是否与病毒查找的数据匹配,如果找到则强行结束其进程,释放BAT批处理文件删除病毒源文件,查找含有“提示码”的窗口,找到之后通过读取内存地址数据获取游戏账号密码信息。以上条件成立后,读取游戏目录的.\start\usersetting.ini配置文件获取用户所在服务器相关信息,截取含有windows 图片和传真查看器、画图、acdsee、internet explorer的窗口,找到包含以上标题的窗口后自动截取并保存到临时目录下命名为tmpimg2.jpg、tmpimg2.bmp,将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中。
动物家园计算机安全咨询中心反病毒工程师建议:
   1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。
   5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询