客服电话:400 610 7777
“局域网监视器5120”(Win32.Erone.a.5120) 威胁级别:★★
此木马程序的感染能力较强,且具有针对局域网的感染功能。毒霸反病毒工程师认为它的目的是盗窃企业用户的商业数据,或者制造用于发起网络攻击的肉鸡。
病毒进入电脑后,把自身drone.exe拷贝到系统目录%windows%\system32\中,并注册一个名为drone的服务启动项,实现开机自启动。
然后,它开启一个线程,循环从C:\盘到Z:\盘查找文件,感染除windows、winnt、progam files外,所有目录中的文件,比如.exe、.ocx、.scr等格式文件。只要用户复制这些文件到别的电脑上,病毒就可以实现传播。同时,病毒程序不停的枚举局域网内的机器,利用共享文件的安全漏洞来感染它们的文件,从而实现在局域网内的传播。
最后,病毒程序打开一个线程,在30467端口上监听,连接病毒作者(黑客)的服务器。黑客利用这个后门,就可以随时自由浏览用户的电脑,并任意控制系统。由于此木马是通过后台开启cmd执行命令,因此较隐蔽。
已安装毒霸的电脑用户,可以不必担心安全。没安装毒霸的用户,尤其是局域网用户,请注意检查自己系统中的共享文件夹,最好设置较复杂的密码,避免被该毒交叉感染。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-erone-5120-50831.html
此外值得关注病毒
“冒牌杀软下载器106156”(Win32.Troj.GuiseAV.rs.106156) 威胁级别:★★
这个木马下载器有诈骗嫌疑。它进入用户电脑后,会篡改用户的屏幕保护,用病毒自带的屏幕保护程序模拟系统崩溃的画面,吓唬用户下载病毒作者指定的一个所谓“杀毒软件”。
病毒进入系统后,先释放ph[随机字符].bmp、lph[随机字符].exe ,和blph[随机字符].scr到%WINDOWS%\system32\目录下。然后就将自己的数据写入系统注册表,实现开机自启动。
同时,病毒修改了系统屏幕保护的数据,将它自带的屏幕保护程序安排给系统。病毒的诈骗全靠这个屏保程序。它看上去就和系统崩溃、蓝屏死机时的画面一模一样,但会多出一个窗口,要求用户下载一个所谓的杀毒软件来解决此次崩溃事件。
毒霸反病毒工程师认为,这是一种很明显的诈骗广告。任何一个正规的杀毒软件厂商,都不可能采取这种方式来推销自己的产品。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-guiseav-rs-106156-50830.html
“AUTO病毒下载器258053”(Worm.AutoRun.m.258053) 威胁级别:★★
此下载器具有较强的传染能力。它利用AUTO技术进行传播,每当进入一台新的电脑,就会在各磁盘分区中生成AUTO文件,以感染用户插上电脑的移动存储设备。
病毒进入电脑后所释放的文件较多,都集中在系统盘的%WINDOWS%\system32\目录下,主要文件有ntfschk.exe、event32.dll、gbk.nls等。
接着,病毒修改注册表,生成自己的服务项,达到开机自启动。与此同时,它会尝试利用映像劫持令一些主流的安全软件无法启动,例如金山毒霸、360、卡巴斯基、QQ医生、NOD32、filemon等。
最后,病毒连接病毒作者指定的地址http://www.*******ina.cn/mm/,下载其他的病毒文件并运行。
为实现更快速的传播,该毒会在各磁盘分区的根目录下生成一个winsvcui.exe和autorun.inf文件,只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会将其感染。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/worm-autorun-m-258053-50834.html
金山毒霸反病毒工程师建议
1.请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。
2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。
3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年8月3日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
标签: