注册
登录
| 关键词: 病毒 变种 木马 系统 江民 二代 安全 文件 毒霸 骇客 |
华军资讯提醒您:最近出现几种新的电脑病毒,危害网民,值得大家高度重视,华军总结了几家病毒软件发布的最新病毒播报,希望大家加强防范,注意安全: 金山: 一、 “HB蝗虫盗号木马”(win32.trojdownloader.agentt.fg.106496)。这是一个借助“猫癣下载器”进行传播的盗号木马。该毒拥有大量变种,可盗窃众多网络游戏的帐号和密码。 “HB蝗虫盗号木马”(win32.trojdownloader.agentt.fg.106496)是近来被发现次数做多的一个盗号木马,在过去的一个月内,该毒达到130多万台次的感染总量,而最新的日保守感染量为40万台次。借助猫癣的下载帮助,是它拥有较大传播量的原因。 该病毒每次运行时,都会释放出一个随机命名的DLL文件,此文件经过加密加花处理,包含有大量的垃圾数据,病毒作者很可能是试图以此来干扰杀毒软件的工作。同时,在运行后结束后,病毒所释放出的文件都会自删除,避免样本被反病毒工作者捕获。 但在云安全系统的严密监视下,该毒依然无处遁形,因此毒霸用户可以不必担心。 二、 “古董感染虫变种”(Win32.Virut.ar.40960),此毒为一款感染型病毒。它能对exe文件和脚本文件进行感染,然后执行远程控制与自动访问网站的任务。此毒的历史比较久,在08年之前就已经出现,这次出现的是它的新变种。 古董是一个相对比较古老的变形感染型病毒,本月该病毒再出新变种。该病毒会感染exe文件和脚本文件。被感染后的文件会成为一个后门程序,自动连接到国外的黑客服务器,等待接收黑客指令。 而那些被感染的脚本文件,则会根据后续指令,自动访问存在系统安全漏洞的国外网站,尝试对这些网站进行攻击。 来自金山毒霸反病毒工程师的几点安全建议 1.安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开,并一定要开启自动升级功能,遇到杀毒软件异常的问题,要尽快与其生产厂商联系求助。 2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大,只要你的系统中存在安全漏洞,病毒就可以找到突破防御的缝隙。因此,请尽可能使用正版软件,以获得及时的升级服务。 3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户,因此建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,这样才能切断病毒感染的途径,不给病毒以可乘之机。 4.警惕网络诈骗,切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击,而至于基于社会工程学的诈骗,很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理,比如QQ中大奖、网站抽大奖等。 金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2009年3月6日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2009或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。 瑞星: 据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“IRC波特变种XAG(Backdoor.Win32.IRCbot.xag)”病毒。该病毒是基于IRC的后门程序,黑客可以通过IRC软件对中毒电脑进行控制,对外发动攻击等。 本日热门病毒: “IRC波特变种XAG(Backdoor.Win32.IRCbot. xag)”病毒:警惕程度★★★,后门病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。 该病毒运行后复制自身到驱动程序目录下,文件名为wmiadapi.exe,并在注册表中添加名为“AutoDiscovery/AutoPurge (ADAP) Service”的项目,实现开机自动运行。病毒还会在中毒电脑上开设后门,自动连接cftp.dawn****.info接受远程指令,黑客可以利用IRC软件对染毒的计算机进行远程控制,进行多种危险操作。同时,该病毒还会自动修改系统文件,使系统一些正常的网络功能遭到破坏。 反病毒专家建议电脑用户采取以下措施预防该病毒:1、安装瑞星全功能安全软件2009和卡卡上网安全助手,并及时升级,瑞星全功能安全软件2009每天至少升级三次;2、使用卡卡上网安全助手的“漏洞扫描与修复”,打好补丁,弥补系统漏洞;3、不浏览不良网站,不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星账保险柜3.0”中,可以有效保护密码安全;7、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡6.0,打开防护中心开启全部防护,防止病毒通过IE漏洞等侵入计算机。 如遇病毒,请拨打反病毒急救电话:010-82678800。能够上网的用户可以访问瑞星反病毒资讯网:http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。 江民: 江民今日提醒您注意:在今天的病毒中Trojan/PSW.Magania.cxz“玛格尼亚”变种cxz和Trojan/Monder.gg“摩登王”变种gg值得关注。 英文名称:Trojan/PSW.Magania.cxz 中文名称:“玛格尼亚”变种cxz 病毒长度:175400字节 病毒类型:盗号木马 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 MD5 校验:f90252fee272b79c3e31957285f93a88 特征描述: Trojan/PSW.Magania.cxz“玛格尼亚”变种cxz是“玛格尼亚”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“玛格尼亚”变种cxz运行后,会自我复制到被感染计算机系统的“%SystemRoot%\help”目录下,重新命名为“EB6C4499B05F.exe”,还会在相同目录中释放恶意DLL组件“EB6C4499B05F.dll”,并设置文件属性为“系统、隐藏”。在被感染计算机的后台遍历当前系统中运行的所有进程,一旦发现指定的进程存在,便会通过调用批处理命令的方式篡改系统日期,导致某些安全软件的授权失效,从而达到了自我保护的目的。修改注册表,关闭某些安全软件的监控,致使用户更多地暴露在了风险面前。将释放的恶意DLL组件插入到“explorer.exe”等几乎所有用户级权限的进程中加载运行,以此隐藏自我,防止被查杀。该恶意DLL文件是一个专门盗取“奇摩”、“热血”、“魔兽世界”、“洛奇”等网络游戏会员账号的木马程序。运行后会首先确认自身是否已经插入到指定的进程中,如果插入成功,便会利用消息钩子、内存截取等技术盗取游戏玩家的账号、密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的这些机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“玛格尼亚”变种cxz会在注册表“ShellExecuteHooks”项下添加键值,以此实现木马的开机自启。 英文名称:Trojan/Monder.gg 中文名称:“摩登王”变种gg 病毒长度:64512字节 病毒类型:木马 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 MD5 校验:b91e434ce6670214da8266f6e970fbea 特征描述: Trojan/Monder.gg“摩登王”变种gg是“摩登王”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“摩登王”变种gg运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意木马组件(文件名由7位随机字母组成)。将恶意代码注入到“winlogon.exe”和“explorer.exe”进程中隐密运行,提高了木马的生存几率。通过提升自身权限、强行篡改注册表键值等方法查找并强行关闭大量流行的安全软件、浏览器辅助安全插件等,并且可能会卸载某些安全软件,极大地降低了被感染计算机系统的安全性。不定时弹出广告窗口,干扰了用户对计算机的正常操作。在后台秘密搜集被感染计算机的系统信息,并将其发送到骇客指定的远程服务器上,从而对用户的隐私造成了侵犯。“摩登王”变种gg还会下载其它恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能是盗号木马、广告程序(流氓软件)、后门等,致使被感染计算机用户面临着不同程度的风险。同时,“摩登王”变种gg在运行完毕后会将自身删除,以此消除痕迹。 另外,“摩登王”变种gg会通过修改注册表登陆加载项和注册浏览器辅助对象的方式实现其释放组件的开机自动运行。 英文名称:Backdoor/Hupigon.tw 中文名称:“灰鸽子二代”变种tw 病毒长度:759296字节 病毒类型:后门 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 MD5 校验:2eb0fe8173e8ebbc46177d676cbb3132 特征描述: Backdoor/Hupigon.tw“灰鸽子二代”变种tw是“灰鸽子二代”后门家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,并且经过加壳保护处理。“灰鸽子二代”变种tw运行后,会自我复制到被感染计算机系统的“%CommonProgramFiles%\System\msadc\”目录下,重新命名为“msadcer32.exe”。在相同目录下释放恶意DLL组件“msadcer32.DLL”和“MSADCER32KEY.DLL”,并设置上述文件属性为“系统、隐藏、只读、存档”。“灰鸽子二代”变种tw运行时,会将释放出来的恶意DLL组件“msadcer32.DLL”、“MSADCER32KEY.DLL”插入到系统IE浏览器进程“IEXPLORE.EXE”中加载运行,同时利用HOOK技术将其隐藏,从而防止被轻易地发现和查杀。该后门还会利用防火墙的白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。“灰鸽子二代”变种tw属于反向连接后门,会在被感染计算机系统的后台连接骇客指定的远程服务器站点,获取远程控制端真实地址并进行连接。一旦连接成功,被感染计算机便会成为骇客的傀儡主机。骇客通过该后门,可以向被感染计算机发送任意指令、执行任意操作,其中包括文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、视频监控等,给被感染计算机用户的个人隐私甚至是商业机密造成了严重的侵害。同时,感染了“灰鸽子二代”变种tw的计算机会构成僵尸网络,骇客利用这些傀儡主机可以对指定站点发动DDoS攻击、洪水攻击等,对互联网的信息安全造成了十分严重的危害。“灰鸽子二代”变种tw主程序在安装完毕后会将自身删除,从而达到了消除痕迹的目的。另外,“灰鸽子二代”变种tw会通过在被感染计算机中注册系统服务的方式实现开机自启。 英文名称:Trojan/PSW.MultiFirst.j 中文名称:“魔笛手”变种j 病毒长度:7680字节 病毒类型:盗号木马 危险级别:★ 影响平台:Win 9X/ME/NT/2000/XP/2003 MD5 校验:0219f7e4dc7197694e95b326a2b06cdb 特征描述: Trojan/PSW.MultiFirst.j“魔笛手”变种j是“魔笛手”盗号木马家族中的最新成员之一,采用高级语言编写。“魔笛手”变种j运行后,会首先检测系统中是否存在指定安全软件的进程,一旦发现这些进程的存在,便会自动退出。试图强行删除指定的注册表键值,从而导致某些安全软件的监控和自我保护功能失效,提高了木马自身的生存几率,致使被感染计算机系统更多地暴露在风险面前。“魔笛手”变种j可能会在被感染计算机的后台秘密监视用户系统中所运行的所有应用程序的窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“魔笛手”变种j会通过修改注册表启动项的方式实现开机自动运行。 针对以上病毒,江民反病毒中心建议广大电脑用户: 1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。 2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。 3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。 4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。 5、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。 6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。 7、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://pay.jiangmin.com/online/jiangmin/kvkillonline.aspx 有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。 卡巴斯基: 关注病毒: · 病毒名称:Worm.Win32.Downloader.yq 猎号天虫 · 文件大小:21989字节 · 病毒类型:蠕虫、下载者、网络游戏盗号木马 · 危害等级:★★★★★ · 影响的平台:WIN9X/ME/NT/2000/XP/2003 病毒表现(X代表任意数字与字母的组合): · 此木马使用upx加壳,病毒运行后会立即搜索系统中安全类软件进程,它有一个相当全面的安全类软件进程列表,用这个列表和系统中的进程进行对比,找到后利用kill命令结束他们,同时在注册表中将各杀毒软件的启动项禁用。此木马还会创建ShellExecuteHooks和ShellServiceObjectDelayload注册表键下创建随机的CLSID实现病毒dll的自启动。在system32下释放以随机8个字母为文件名的dll文件。除此之外,此木马还会使用网络共享文件夹进行传播。木马释放的dll文件会被注入到所有进程中并盗取网络游戏《QQ三国》的账号密码。 · 目前,卡巴斯基已可以成功查杀该病毒,我们建议您尽快更新病毒库进行查杀以避免不必要的损失。 专家预防建议: · 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。 · 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 · 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 · 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 · 5.安装专业的防毒软件 升级到最新版本,并开启实时监控功能。 · 6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 · 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。 以上是华军给大家带来病毒播报,希望对大家有帮助。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
