客服电话:400 610 7777
“精确制导监视器”(Win32.Troj.Agent.km.52224) 威胁级别:★★
这个木马没有固定的文件名,它进入系统后,就把自己复制到%WINDOWS%\system32\目录下,名字随机生成,并删除原始文件。然后就修改注册表,将自己设置为开机自启动。
病毒运行起来后,会注入桌面进程explorer.exe,隐蔽运行,并连接病毒作者指定的地址6*.2*.1*8.221,下载最新版本的自己,实现更新,然后就开始作案。
它对用户最大的威胁,在于它能够读取IE的缓存,记录用户的网页浏览记录,以及用户使用msn、google、yahoo、aol、icq等搜索引擎时所输入的关键词记录。同时,它还会检查用户使用的浏览器是哪种。毒霸反病毒工程师猜测,当这些数据被发送到病毒作者手中,可能会被用于统计用户的上网习惯,以帮助病毒作者有针对性的开发广告木马。
另外,此木马有个特点,就是病毒作者能够给它指定发作地区。它检查系统中Control Panel\International的键值iCountry、Nation,判断当前电脑的所在国家,如果发现是病毒作者指定的国家,就立即运行,如果不是,则沉默等待。毒霸反病毒工程师认为,这是病毒作者实现“精确攻击”的办法,这使得他们能获取最准确的某区域用户信息。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-km-52224-50843.html
此外值得关注病毒
“僵尸网络连接器118272”(Win32.TrojDownloader.Cntr.cg.118272) 威胁级别:★★
这个木马程序的主要危害在于,它能够穿透系统自带的防火墙,连接多个远程服务器接收指令。
进入电脑后,病毒释放自己的文件msserv.exe到%windows%目录下,并将其添加到注册表启动项,实现开机自启动。然后修改%windows%\system32\目录下的系统防火墙文件netsh.exe,使其允许该病毒连接网络。
接下来,病毒启动系统中自带的时间管理程序,连接WINDOWS官方的时间服务器,同步世界时间。只要完成这一行为,它便会立即打开端口UDP:8809,以及TCP端口,连接病毒作者指定的多个远程服务器。这些服务器分布于全球多个国家和地区,毒霸反病毒工程师猜测,它们可能会构成一个僵尸网络。
一旦用户电脑成为僵尸网络中的一员,那么电脑中的资料将会被黑客自由调用,并且电脑会被用于攻击其它正常电脑,沦为“肉鸡”。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-cntr-cg-118272-50845.html
“机器狗变种53248”(Win32.Troj.DownLoaderT.mr.53248) 威胁级别:★★
此下载器的原始文件进入系统后,释放出病毒文件ctfmon.exe到系统盘%WINDOWS%\目录下,另外两个文件Upack.exe和ctfmon.exe会被释放到系统盘根目录下。然后,它判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE(贝壳磁盘保护)2个进程,如不存在,就写驱动穿还原系统。
然后,病毒把系统桌面进程explorer.exe复制到系统盘根目录中,命名为tempdat.dat,再将自己的数据写入原来的explorer.exe中,这样,它就可以随着桌面的启动而自动运行起来。
当成功运行起来,此毒便连接指定的远程地址,下载一份病毒列表,根据其中的地址,下载更多其它木马到%WINDOWS%\system32\目录下运行,下载一个运行一个。这就造成系统资源逐渐被吞噬,电脑运行越来越慢。
毒霸反病毒工程师检查后发现,它所下载的木马,大部分是盗号器,可能对用户的虚拟财产构成威胁。另外,由于ctfmon.exe这个病毒文件与系统的托盘区拼音图标文件同名,可能会给用户构成迷惑。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-downloadert-mr-53248-50841.html
金山毒霸反病毒工程师建议
1.请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。
2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。
3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年8月10日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
标签: