“僵尸网络连接器118272”（Win32.TrojDownloader.Cntr.cg.118272），这是个远程木马程序。它会穿过windows自带的防火墙，与时间服务器同步，更新主机的时间。然后打开端口，尝试连接病毒作者指定的多个远程地址。

　　“尼姆达变种18848”（Worm.NimdaT.d.18848），这是个感染型的蠕虫病毒。它会感染所有的.exe、.scr、.htm、.html格式文件，如果用户将含毒文件用邮件发送出去，病毒无需收信人主动打开即可自动执行。另外，此毒还会感染局域网中的其它正常电脑。

　　一、“僵尸网络连接器118272”（Win32.TrojDownloader.Cntr.cg.118272）  威胁级别：★★

　　这个木马程序的主要危害在于，它能够穿透系统自带的防火墙，连接多个远程服务器接收指令。

　　进入电脑后，病毒释放自己的文件msserv.exe到%windows%目录下，并将其添加到注册表启动项，实现开机自启动。然后修改%windows%\system32\目录下的系统防火墙文件netsh.exe，使其允许该病毒连接网络。

　　接下来，病毒启动系统中自带的时间管理程序，连接WINDOWS官方的时间服务器，同步世界时间。只要完成这一行为，它便会立即打开端口UDP:8809，以及TCP端口，连接病毒作者指定的多个远程服务器。这些服务器分布于全球多个国家和地区，毒霸反病毒工程师猜测，它们可能会构成一个僵尸网络。

　　一旦用户电脑成为僵尸网络中的一员，那么电脑中的资料将会被黑客自由调用，并且电脑会被用于攻击其它正常电脑，沦为“肉鸡”。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-cntr-cg-118272-50845.html

　　二、“尼姆达变种18848”（Worm.NimdaT.d.18848）  威胁级别：★

　　此毒具有较强的感染能力。它在进入系统后，能够感染所有的.exe、.scr、.htm、.html格式文件。病毒将自己的代码加在正常文件的尾部，标记为audio/x-wav类型，只要被用户点击，默认的音频文件播放器就会尝试打开该附件，从而激活病毒。

　　病毒运行后，会拷贝自身runouce.exe到%windows%\system32\目录中，并搜索局域网中的其它电脑，将自己用名为“net send * my god!some one killed chinesehacker-2 monitor”的邮件发送给它们。当收件人在打开邮件的时候，即便没点击附件，病毒也会自我激活。

　　目前，除单纯的进行感染传播外，没有发现此毒有明显的破坏能力，但毒霸反病毒工程师认为病毒作者可能会在以后的变种中增加盗窃数据或破坏系统的行为，因此随时都要保持警惕。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/worm-nimdat-d-18848-50846.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年8月2的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

僵尸, 感染, 肉鸡, 预警

此条发布在 星期六, 08月 2nd, 2008 at 9:42 am 安全播报, 病毒预警. 您可以通过 RSS 2.0 获得最新评论. 您可以到文章末尾留言。