客服电话:400 610 7777
“劫持者下载器208896”(Win32.Hack.ReSSDT.p.208896) 威胁级别:★★
该毒进入系统后,在%WINDOWS%\system32\drivers\目录下释放出随机命名的子文件。然后搜寻并尝试结束DrvAnti.Exe(驱动防火墙的进程)。接着,它创建服务启动,来还原系统SSDT表,这样可以使一些所谓具有“主动防御”功能的杀软失效。
接着,它枚举系统中的进程,劫持电脑中已安装的杀毒软件。该毒的劫持名单非常庞大,几乎所有知名的杀软都是它的目标。当然,劫持归劫持,至于是否能成功,那就看各杀软的查杀能力了。至少这招对毒霸无效。
当解除了电脑的防护,该毒读取自己配置文件中的地址信息,从指定的远程地址下载一份最新的病毒列表,根据其中的地址,下载更多的木马文件到用户电脑中运行,引发更多无法估计的破坏。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-ressdt-p-208896-50912.html
此外值得关注病毒
“伪装卫士43008”(Win32.Troj.360Tay) 威胁级别:★★
病毒的母体进入电脑后,搜索系统%WINDOWS%\system32\目录中是否有360tay.exe文件,如有就中止其进程,然后删除该文件。接着,将自己复制到该目录下,并命名为360tay.exe,完成“偷天换日”。
随后,该毒将自身注册为系统服务,名为“360Tay”,DisplayName为“360安全防护软件”,伪装成360安全卫士。它一旦运行起来,首先会释放资源区文件,恢复系统的SSDT表,令用户安装的还原软件失效,接着便从病毒作者指定的地址下载大量其它木马文件,或上传用户的某些文件。
除了下载木马,该毒还具有攻击其它电脑或网站的功能。它创建大量线程,向指定目标地址发送大量的垃圾数据,严重消耗网络带宽,让用户无法正常上网,十分烦人。毒霸家族的清理专家可以彻底查杀此木马,如发现系统中出现上诉异常,可到毒霸网站下载免费的清理专家进行处理。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-360tay-50917.html
“Media Player伪装木马1560576”(Win32.Troj.Inject.ux.1560576) 威胁级别:★
这个木马除帮助黑客控制用户电脑外,没有直接的破坏行为。病毒作者给它采用了Windows Media Player音频文件的图标,试图以此来骗过用户注意,但如果是安装了毒霸的电脑,这招就完全无效,它一进入系统,就会被查杀。
它将自己的文件病毒systems.exe释放到%Program Files%\Common Files\Microsoft Shared\MSINFO\目录中,并将其写入注册表服务项,实现开机自启动。服务名称为Windows User Mode Driver Frameweik。
运行起来后,它就注入IE浏览器的进程,隐蔽运行,连接病毒作者指定的远程黑客服务器222.2*2.2*4.113,等待黑客指令。借助它的帮助,黑客可任意控制用户电脑。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-inject-ux-1560576-50914.html
金山毒霸反病毒工程师建议
1.请及时更新您的杀毒软件,网络版可以通过控制台执行全网升级。
2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。
3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年9月14日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。
标签: