客服电话:400 610 7777
“精确制导下载器28672”(Win32.Troj.Tibs.kj.28672) 威胁级别:★★
这周,再次发现可拥有明确攻击目标的木马。此木马会将自己的文件winds32.exe释放到%WINDOWS%\System32\目录中,因为文件名与WINDOWS系统的许多进程相似,一些用户可能会将其忽略。
病毒首先会修改注册表,实现开机自启动,然后通过模拟用户设置,利用系统命令使windows防火墙允许病毒程序连接网络,这样一来,它就能在未来的操作里自由连接远程服务器了。
这个下载器有个特点,它能够针对不同地区、不同配置的电脑,下载相应的木马。病毒获取当前系统cpu型号、系统语言版本、操作系统版本等信息,再根据这些信息选择不同的下载地址。这种“智能”下载法,可大大提高病毒的作案效率。
当一切准备就绪,病毒就连接其作者指定的地址http://su***ount.net/a*v/058/adload.php读取下载列表,再根据其中的地址,下载更多的木马程序到%windows%\system32\目录下运行。
经毒霸反病毒工程师检查,被下载的木马,多为网游、网银盗号器,以及一些远程控制木马。如果它们成功进入电脑,可能会带来无法估计的损失。不过由于毒霸可以彻底查杀它们,已安装毒霸的电脑用户可以不必担心。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-tibs-kj-28672-50851.html
此外值得关注病毒
“远程控制下载器367616”(Win32.Hack.sdbot) 威胁级别:★★
这个木马的主要威胁表现在,它能够连接远程服务器,发送用户系统信息,帮助黑客控制用户电脑。
病毒文件schrars.exe会被释放到%WINDOWS%\system\中,并被写入注册表启动项,以服务的方式实现开机自启动。服务名为RasAuto,习惯手动查杀的用户可对此留意。
当启动成功,木马就获取用户权限,解密自身数据,获得病毒作者指定的黑客远程地址,将用户电脑的系统版本、计算机名、内存大小、病毒自身版本等信息,加密后发送过去,然后,就等待黑客服务器发回指令。根据指令,木马可以执行任何黑客想要的操作。
此外,此木马还具有下载器功能。它会从指定的地址,下载其它木马程序,从而给用户带来更多麻烦和损失。。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-sdbot-50857.html
“键盘记录下载器23040”(Win32.Agent.obk) 威胁级别:★★
伪装成正常软件,诱使用户安装,一直是木马程序乐于使用的欺骗技术。最近,毒霸反病毒工程师就又发现了这样的木马。
此木马采用高级语言编写,它本身是一个键盘记录器,能够记录用户输入的各种数据,并将它们发送到病毒作者指定的邮箱中。该木马有两个病毒文件,分别是EECDE.exe和FCE37.exe,被释放在系统目录中。
其中,EECDE.exe是病毒主文件,它会被写入注册表启动项,实现开机自启动,记录用户输入的数据并发送到指定邮箱。同时,它将IE浏览器引导到一个诈骗网页sca**er.anvi-sca**er.com,弹出提示说正在扫描病毒,并且检查出病毒,要求用户必须下载指定杀毒软件。如果用户允许,实际上被下载的只会是一堆别的木马。
至于FCE37.exe,它是另一个木马下载器Win32.TrojDownloader.VB.102400,它会连接病毒作者指定的远程服务器,下载更多病毒木马。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-agent-obk-50859.html
金山毒霸反病毒工程师建议
1.请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。
2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。
3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年8月17日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
中了远程控制木马 金山杀不了 为什么?
ioooooooooooooooooooooooooooooooooooo
标签: