当前在线 人
金山:
一、“黑客下载控制器685568”(Win32.Hack.PcClient.bc.685568)威胁级别:★
该毒进入系统后,下载的木马比较多,全部存放在系统盘%WINDOWS%目录下。它每下载完一个,就运行一个,经过一段时间,用户电脑的系统资源就会被严重占用,速度明显变慢。
除下载文件,它还可以执行黑客发出的其它指令,比如查看和复制电脑里的敏感文件、控制中毒电脑攻击其它电脑等。
为防止用户发现系统异常,病毒在进入系统后,就抢先替换掉系统用于发出报警音的文件Beep.sys。同时,它在修改注册表实现开机自启动时,会将自己注册为360安全卫士的名称,试图欺骗用户。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-hack-pcclient-bc-685568-52059.html
“剑侠飞贼86016”(Win32.Troj.OnlineGames.oa.86016)威胁级别:★
玩《剑侠情缘2》的玩家需要留意。近来针对《剑2》的盗号木马有所增加,毒霸反病毒工程师怀疑是由病毒作者批量生产所导致。
本预警中的病毒样本,在侵入用户电脑时,会搜索是否有verclsid.exe,360Tray.exe360Safe.exe等安全软件的相关进程,如有就尝试关闭它们。随后释放DLL文件到系统盘%WINDOWS%目录,文件名为一8位的随机字母字串,并创建一后缀为.nls的同名文件。
随后,病毒监测用户的网络游戏S02game.exe(剑侠情缘二),将敏感信息发送到病毒作者指定的地址http://ahy***xlr321.w**17.7it7.cn/zzjx2luoyi13/lin.asp
关于该病毒的详细分析报告,可在金山病毒大百科中查阅:http://vi.duba.net/virus/win32-troj-onlinegames-oa-86016-52063.html
三、“变种鸽子167936”(Win32.Hack.Huigezi.167936)威胁级别:★
这个远程木马除在用户电脑里建立后门外,还会下载一些别的木马。它的大部分子文件会释放于%WINDOWS%\SYSTEM32\目录下,当修改注册表启动项,实现开机自动运行后,病毒就会在后台建立远程连接,与黑客服务器进行通讯。
与此同时,该毒会获取用户系统的管理员权限,以便黑客入侵电脑后能执行各种想要的操作。比如读取和删改文件、运行程序、截取网游、网银帐号密码等。
根据该毒的若干变种来看,毒霸反病毒工程师认为最近该毒出现新变种的几率较高,用户应打齐补丁,并尽量避免光顾不知名的小网站,预防挂马。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hack-huigezi-167936-52082.html
四、“黑客远程下载器77824”(Win32.Hack.Agent.77824)威胁级别:★
该毒运行的原理比较简单,当释放出子文件、修改注册表启动项实现开机自启动后,就立刻下载另一个木马。
它会给自己所下载的木马使用avp.exe的名字,这和杀毒软件卡巴斯基的进程一样,因此对一些不熟悉系统的用户具有迷惑作用,使得病毒实现了伪装。通过该毒在系统中的动作风格及这一文件名称,毒霸反病毒工程师认为它是过去曾介绍过的一个下载器的新变种。
该毒所下载的木马,也是一个下载器,它所下载的恶意文件数量更大,多为盗号木马程序。不过毒霸可以全部拦截它们。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hack-agent-77824-52077.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年10月29日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
点击下载金山软件:http://www.newhua.com/soft/17120.htm
瑞星:
“安德夫木马下载器变种BKL(Trojan.DL.Win32.Undef.bkl)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个木马下载器病毒。该病毒运行后会释放一个动态库文件,该文件会从黑客指定网站下载一个config.ini文件,并且从下载的config.ini文件中获取具体要下载的木马、病毒的地址,然后下载到用户计算机上并执行,给用户的计算机安全带来危害。
“Ceckno后门变种TA(Backdoor.Win32.Ceckno.ta)”病毒:警惕程度★★★,后门病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个后门病毒。该病毒运行后会在C:\WINDOWS目录新建名称为“netservice.exe”的病毒程序,在C:\WINDOWS\system32目录新建名称为“sysns.dll”的病毒文件。病毒会修改注册表启动项,以实现开机自动启动。病毒运行后会记录用户键盘输入并发送给黑客,窃取用户邮箱账号、网上银行密码、网络游戏密码等,使用户利益收到损害。病毒运行后还会使用户的电脑被黑客控制,黑客可以在远程操作用户电脑实现上传病毒或者下载用户电脑中的重要资料,使用户电脑安全受到更大的威胁。
“杀软伪装器变种FS(Trojan.Win32.FakeVir.fs)”病毒:警惕程度★★★☆,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
一个伪装成杀毒软件的木马,该病毒运行后会弹出一个类似于杀毒软件扫描病毒的窗口,然后不论计算机有没有病毒,该程序都会弹出窗口提示扫描到病毒,然后让用户选择清理病毒,但是点击清理病毒需要注册软件,然后连接网络访问指定的网站,欺骗用户购买其软件,使广大用户利益受损。
反病毒专家建议电脑用户采取以下措施预防该病毒:1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞;3、不浏览不良网站,不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全;7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡6.0,打开防护中心开启全部防护,防止病毒通过IE漏洞等侵入计算机。
如遇病毒,请拨打反病毒急救电话:010-82678800。能够上网的用户可以访问瑞星反病毒资讯网:http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。
点击下载瑞星软件:http://www.onlinedown.net/soft/25329.htm
江民:
英文名称:Packed.Krap.z
中文名称:“卡拉蜜”变种z
病毒长度:145814字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Packed.Krap.z“卡拉蜜”变种z是“卡拉蜜”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“卡拉蜜”变种z运行后,自我复制到被感染计算机系统的“%SystemRoot%\Help\”目录下,并重新命名为“EB6C4499B05F.exe”,文件属性设置为:系统、隐藏、存档。在被感染计算机系统的“%SystemRoot%\Help\”目录下释放一个恶意DLL功能组件“EB6C4499B05F.dll”,将其插入到被感染计算机系统“explorer.exe”等用户级权限的进程中加载运行,并在后台执行相应的恶意操作,隐藏自我,防止被查杀。“卡拉蜜”变种z会在被感染计算机的后台秘密监视正在运行的所有窗口标题,一旦发现标题中存在与安全相关的字符串(如“安全警报”、“网页”)便会强行向其进程循环发送垃圾消息,试图使其出错关闭或自动退出。强行篡改系统日期,利用某些安全软件存在的“时间判断”缺陷使其保护功能失效,进而达到自我保护的目的。“卡拉蜜”变种z可盗取“魔兽世界Online”、“热血江湖Online”、“冒险岛Online”、“洛汗Online”等网络游戏的会员账号,会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、金钱数量、仓库密码等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家带来一定程度的损失。同时,该木马还会窃取用户“雅虎通(Yahoo! Messenger)”和“Yahoo奇魔”的账号信息,并在后台发送到骇客指定的远程服务器站点上。“卡拉蜜”变种z具有自动更新功能,连接指定站点进行自动升级。另外,“卡拉蜜”变种z会通过修改系统注册表的方式来实现木马开机自启动。
英文名称:Rootkit.Vanti.fzh
中文名称:“顽梯”变种fzh
病毒长度:9056字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Rootkit.Vanti.fzh“顽梯”变种fzh是“顽梯”木马家族中的最新成员之一,采用内核级Rootkit技术来实现隐藏自我,未经过加密保护处理。“顽梯”变种fzh在用户计算机系统中安装注册运行后,利用高级的Rootkit技术(内核级的钩子“SSDT HOOK”与“FSD HOOK”)隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息,防止被安全软件和用户查杀,达到更好的隐蔽效果。其中,该恶意驱动程序属于某病毒整体中的一个功能模块,伴随该恶意驱动程序的出现,还会有其它恶意功能模块也一同被安装到系统中。用户计算机系统一旦感染该病毒,则很难清除干净。另外,“顽梯”变种fzh会通过在被感染计算机中注册系统服务的方式来实现木马开机自启动。
点击下载江民软件:http://www.onlinedown.net/soft/42675.htm
卡巴斯基:
关注病毒:
病毒名称:Trojan-Downloader.Win32.Agent.wps(下载者变种SPW)
文件大小:21580字节
病毒类型:木马
危害等级:★★★★★
影响的平台:WIN9X/ME/NT/2000/XP/2003
病毒表现(X代表任意数字与字母的组合):
此文件使用upack加壳,计算机一旦被此病毒感染,它将在系统磁盘建立一个随机数字与字母组合为名字的隐藏文件夹,并且尝试连接网络,一旦连接成功,它将迅速连接到指定的服务器通过80端口下载大量的盗号木马到这个文件夹中,同时尝试运行它们,用以盗取用户的游戏帐号和密码信息。
手动查杀方法:
卡巴斯基已经完全可以查杀此病毒,建议尽快安装卡巴斯基并将病毒库升级到最新,以便可以预防被感染造成不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
点击下载卡巴斯基软件:http://www.newhua.com/soft/18353.htm
以上是华军给大家带来病毒播报,希望对大家有帮助。
| 共分1页 [1] |