金山:
一、“黑客连接工具798720“(Win32.HackTool.ToolBarT.dr.798720)威胁级别:★
此毒对系统本身没有破坏作用,但它能在后台秘密连接远程服务器,进行加密通讯。这是很典型的远程木马行为。
当修改注册表,实现开机自启动后,该毒就在后台启动IE浏览器的进程,连接到病毒作者指定的多个远程服务器,进行通讯,并等待黑客的下一步指令。
为保证运行正常,该毒还会建立互斥体,避免自己其它副本进入电脑造成重复运行,因为重复运行有可能会造成系统崩溃,反而打乱黑客的入侵计划。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hacktool-toolbart-dr-798720-52105.html
二、“扫帚广告机103488“(Win32.Adware.Virtumonde.dc.103488)威胁级别:★
此广告木马能利用AUTO技术进行传播,因此感染速度较快。
它在进入系统后,除常规地修改注册表,实现开机自启动外,还会搜索磁盘分区,在C盘之外的分区中建立一个AUTO文件Logo1_.exe,只要用户在中毒电脑上使用U盘等移动存储设备,该毒就会将其感染。
在成功运行起来后,该毒会随机弹出一些广告网站的窗口,这些网站制作简陋,很明显它们的所有者不指望靠广告来赚钱,这种行为只是为了为其刷流量,以提高它们在搜索引擎中的排名,让更多人容易搜索到它们。当访问人数够多时,病毒作者就会在上面挂上木马,进行真正的传播。
病毒中文名的由来,是因为该毒在运行结束后,会“扫除“自己的原始文件,防止样本被用户发现。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-adware-virtumonde-dc-103488-52104.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年10月31日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
点击下载金山软件 http://www.newhua.com/soft/17120.htm
瑞星:
“安德夫木马下载器变种BOD(Trojan.DL.Win32.Undef.bod)“病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个木马下载器病毒。该病毒运行后会释放一个动态库文件,该文件会从黑客指定网站下载一个config.ini文件,并且从下载的config.ini文件中获取具体要下载的木马、病毒的地址,然后下载到用户计算机上并执行,给用户的计算机安全带来危害。
“下载器蠕虫变种JI(Worm.Win32.DownLoader.ji)“病毒:警惕程度★★★,蠕虫病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
病毒运行后,会释放一个名字为beep.sys的驱动,替换掉系统的同名文件,恢复SSDT列表。关闭一些安全软件的服务,结束一些安全软件的进程,以躲避对其的查杀。随后会替换dllcache和system32目录中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和YS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。
反病毒专家建议电脑用户采取以下措施预防该病毒:1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描“,打好补丁,弥补系统漏洞;3、不浏览不良网站,不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜“中,可以有效保护密码安全;7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡6.0,打开防护中心开启全部防护,防止病毒通过IE漏洞等侵入计算机。
点击下载瑞星软件 http://www.onlinedown.net/soft/25329.htm
江民:
英文名称:TrojanSpy.WOW.bz
中文名称:“魔兽杀手“变种bz
病毒长度:29764字节
病毒类型:间谍类木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.WOW.bz“魔兽杀手“变种bz是“魔兽杀手“木马家族中的最新成员之一,采用delphi语言编写,并且经过加壳保护处理。“魔兽杀手“变种bz运行后,在被感染计算机系统的临时文件夹中释放一个恶意DLL组件“WowInitcode.dll“。修改注册表,实现木马开机自动运行。在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏“魔兽世界Online“玩家的游戏账号、游戏密码、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),给游戏玩家带来不同程度的损失。同时,“魔兽杀手“变种bz还具有窃取玩家游戏账号密码保护的功能。因此,当游戏玩家发现自己的游戏账号被盗时,请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码,否则会连同您的密码保护资料一同被骇客盗取,给您带来更大程度的损失。
英文名称:Trojan/Chinaad.f
中文名称:“恶搞鬼“变种f
病毒长度:147968字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Chinaad.f“恶搞鬼“变种f是“恶搞鬼“木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0“编写,并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件,一般会被注入到系统ie浏览器“IEXPLORE.EXE“进程中加载运行,并在被感染计算机系统的后台执行恶意操作,隐藏自我,防止被用户发现、被安全软件查杀。“恶搞鬼“变种f会在被感染计算机系统的后台定时访问指定的恶意广告站点,提高这些恶意网站的访问量(网络排名),不仅给骇客带来经济利益,而且还会严重影响和干扰用户的正常操作。在被感染计算机系统中将自身注册为BHO(Browser Helper Object,浏览器辅助对象),实现木马随IE浏览器的启动而加载运行。另外,“恶搞鬼“变种f还会占用大量系统资源,极大地降低了系统的运行速度。
点击下载江民软件 http://www.onlinedown.net/soft/42675.htm
卡巴斯基:
关注病毒:
病毒名称:Trojan-Downloader.Win32.Agent.wps(下载者变种SPW)
文件大小:21580字节
病毒类型:木马★★★
影响的平台:WIN9X/ME/NT/2000/XP/2003
病毒表现(X代表任意数字与字母的组合):
此文件使用upack加壳,计算机一旦被此病毒感染,它将在系统磁盘建立一个随机数字与字母组合为名字的隐藏文件夹,并且尝试连接网络,一旦连接成功,它将迅速连接到指定的服务器通过80端口下载大量的盗号木马到这个文件夹中,同时尝试运行它们,用以盗取用户的游戏帐号和密码信息。
手动查杀方法:
卡巴斯基已经完全可以查杀此病毒,建议尽快安装卡巴斯基并将病毒库升级到最新,以便可以预防被感染造成不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
点击下载卡巴斯基软件 http://www.newhua.com/soft/18353.htm