| 一、“肉鸡猎人81920”(Win32.Troj.Downloader.vb.81920) 威胁级别:★★
具有较强对抗能力的下载器又出现了。毒霸反病毒工程师在近日处理的病毒中,发现了一个可以严重破坏系统的下载器程序,它除了能够关闭安全软件,执行下载外,还会设法取得对用户电脑系统的完全控制权,试图将用户的电脑变成肉鸡。
病毒进入系统后,在系统盘中释放出大量的病毒文件,其中病毒主文件SoundMan.exe隐藏在%WINDOWS%目录中,而%WINDOWS%\system32\目录下则隐藏着interne.exe、Man.exe、qoq.exe、no1.ini、notepde.exe、note2.ini、ttjj5.ini等。
病毒修改注册表,以最快的速度完成对冰刃、木马克星、360安全卫士的映像劫持,使它们无法运行。病毒还试图劫持毒霸的进程,不过经检验无法成功。另外,它还会劫持系统的输入法模块和资源管理器,令用户无法手动查杀病毒和通过本机向外求援。除了映像劫持外,病毒也通过关闭进程、修改系统时间的方法来破坏其它多家知名安全软件的正常运行。
接着,病毒建立一个新的系统帐户,设法获得全部用户组的管理权限,让用户几乎完全无法操作电脑。在此之后,病毒就连接到病毒作者指定的远程地址,下载大量盗号木马到用户电脑中运行,把用户偷个一干二净。
偷完东西后,病毒不会就此停止运行。它会建立扫描程序,对用户系统的一些敏感端口进行扫描等行为,将用户电脑变成任由病毒作者(黑客)控制的“肉鸡”。并且,如果中毒电脑位于局域网中,病毒还会试图把自己传染到其它正常的电脑上,扩大自己的传染范围。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-downloader-vb-81920-50637.html
二、“黑客后门程序20480”(Win32.Hack.Pangu.a.20480) 威胁级别:★★
这个后门程序会将自己的相关数据添加到系统注册表中,创建服务gu7788gu来加载文件,使自己能够随系统启动。
为了欺骗用户,服务gu7788gu的描述信息是“客户端和服务器之间的 net send 和 alerter 服务消息。此服务与 windows messenger 无关。如果服务停止,alerter 消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动”
同时,病毒修改系统注册表,将自身添加到windows防火墙的例外列表中,这样它就可以绕开系统安全模块的封锁,与外部网络自由通讯。
完成以上步骤后,病毒就删除自己的原始文件,防止用户察觉系统中出现多余的东西。并连接远程端口61.1*8.*8.1*4:8001,等待病毒作者(黑客)的控制指令。
毒霸可以清理此毒,习惯手动杀毒的用户则可以在%WINDOWS%\system32\目录下找到病毒文件notepde.exe。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-pangu-20480-50632.html
三、“非法扫描仪747520”(Win32.Troj.Agent.bw.747520) 威胁级别:★★
这个病毒是个黑客程序,黑客可以借助它对用户的系统进行非法扫描,并实现对用户电脑的完全控制。它本身的技术含量并不高,但近来传播范围较大,毒霸反病毒工程师检查后发现,这与该毒利用下载器和捆绑其它文件进行传播有较大关系。
病毒在进入系统并被激活后,就会复制自己的文件LVScom.exe到系统盘的%WINDOWS%\system32\目录中,然后删除原始文件,防止用户发现系统中出现多余的文件。接着,它就在注册表中添加自己的多个启动项,实现开机自启动。
最后,病毒自动连接某病毒作者指定的地址,接受指定的指令后,对中毒电脑进行非法扫描。然后按照指令的不同,执行不同的操作。由于指令可以是多样的,病毒作者(黑客)也就可以对中毒电脑进行任何他想要的操作。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-bw-747520-50629.html
金山毒霸反病毒工程师建议
1.请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。
2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。
3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
|
