中文名稱:“倒霉球”變種ao
病毒長度:400852字節(jié)
病毒類型:木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/Krotten.ao“倒霉球”變種ao是“倒霉球”木馬家族中的最新成員之一��,采用“Microsoft Visual Basic 5.0 / 6.0”編寫�����,并且經(jīng)過加殼保護(hù)處理����。“倒霉球”變種ao運行后�����,會自我復(fù)制到被感染計算機(jī)系統(tǒng)的“C:Program FilesWindows Media Player”和“%SystemRoot%system32”目錄下����,分別重新命名為“wmpnetwk.exe”和“windowsupdata.log”��。“wmpnetwk.exe”運行后�����,會自我復(fù)制到“%SystemRoot%system32”目錄下并重新命名為“nvuninst.exe”,同時還會釋放“nvsrc.exe”����、“update.exe”到相同目錄和“C:Program FilesWindows Media Player”目錄中。“update.exe”運行后�,會自我復(fù)制到相同目錄中并重新命名保存。“倒霉球”變種ao所釋放的木馬“nvsrc.exe”運行后���,會在被感染計算機(jī)系統(tǒng)的后臺監(jiān)視移動存儲設(shè)備的接入���,當(dāng)發(fā)現(xiàn)有新的移動設(shè)備接入時,便會將“倒霉球”變種ao復(fù)制到其中并且創(chuàng)建自動運行配置文件“Autorun.inf”�,以此實現(xiàn)雙擊盤符后激活木馬,從而達(dá)到了利用U盤�、移動硬盤、SD卡等移動存儲設(shè)備進(jìn)行自我傳播的目的���,給被感染計算機(jī)用戶造成了更多威脅����。“倒霉球”變種ao所釋放的木馬“update.exe”是一個功能強(qiáng)大的遠(yuǎn)程控制類木馬服務(wù)器端���,運行后會將代碼注入“svchost.exe”進(jìn)程中隱蔽運行����,防止被輕易地發(fā)現(xiàn)和查殺。嘗試與客戶端進(jìn)行連接��,如果連接成功����,則被感染計算機(jī)就會淪為駭客的傀儡主機(jī)。駭客通過該木馬可以向被感染計算機(jī)發(fā)送任意指令�����、執(zhí)行惡意操作�����,其中包括文件管理�����、進(jìn)程控制���、注冊表操作、遠(yuǎn)程命令執(zhí)行����,甚至是屏幕監(jiān)控��、鍵盤監(jiān)聽��、鼠標(biāo)控制�、音視頻監(jiān)控(包括對攝像頭控制)等�����,給被感染計算機(jī)用戶的個人隱私�、商業(yè)機(jī)密造成不同程度的威脅。駭客通過該木馬還可以向傀儡主機(jī)發(fā)送大量的惡意程序����,從而使得被感染計算機(jī)用戶遭受更多的侵害。另外�,“倒霉球”變種ao會通過注冊系統(tǒng)服務(wù)的方式來實現(xiàn)開機(jī)后木馬的自啟動。同時���,還會通過在“啟動”文件夾中添加快捷方式的方式來實現(xiàn)開機(jī)自啟����。
英文名稱:Trojan/Agent.bruf
中文名稱:“代理木馬”變種bruf
病毒長度:63488字節(jié)
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/Agent.bruf“代理木馬”變種bruf是“代理木馬”家族中的最新成員之一��,采用高級語言編寫,并且經(jīng)過加殼保護(hù)處理��。“代理木馬”變種bruf運行后�,會在被感染計算機(jī)系統(tǒng)的“%SystemRoot%system32”目錄下釋放一個惡意DLL功能組件,文件名隨機(jī)生成����。同時會將該組件插入到“explorer.exe”、“winlogon.exe”等進(jìn)程中加載運行����,隱藏自我,防止被查殺�����。該組件運行后�,會自我復(fù)制到被感染計算機(jī)的“%SystemRoot%system32”目錄下,文件名隨機(jī)生成��,并調(diào)用運行��。這兩個惡意組件會在后臺不停嘗試連接駭客指定的站點“http://*.12.*.75/go/?”��,讀取相應(yīng)的配置文件����,并在后臺下載其它的惡意程序并自動調(diào)用運行。其中����,所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等����,會給用戶造成不同程度的損失。“代理木馬”變種bruf在執(zhí)行完畢后會將自身刪除��,從而達(dá)到了消除痕跡的目的��。另外�����,該木馬會通過在注冊表啟動項中添加鍵值��、注冊瀏覽器輔助對象等多種方式來實現(xiàn)木馬開機(jī)后的自動運行���。
針對以上病毒���,江民反病毒中心建議廣大電腦用戶:
1����、請立即升級江民殺毒軟件�,開啟新一代智能分級高速殺毒引擎及各項監(jiān)控,防止目前盛行的病毒�����、木馬���、有害程序或代碼等攻擊用戶計算機(jī)��。
2�����、江民KV網(wǎng)絡(luò)版的用戶請及時升級控制中心����,并建議相關(guān)管理人員在適當(dāng)時候進(jìn)行全網(wǎng)查殺病毒�,保證企業(yè)信息安全。
3��、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù),能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”����、“生僻殼”病毒進(jìn)行脫殼掃描�,有效清除“殼病毒”。
4��、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能����,該功能可對病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時間���、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動干預(yù)��、處理�,有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞�,更大程度的提高了計算機(jī)對于未知病毒的防范能力。
5���、江民殺毒軟件擁有強(qiáng)大的自防御體系�,能有效阻止“驅(qū)動級病毒”關(guān)閉和破壞殺毒軟件�����,確保殺毒軟件所有功能的完全發(fā)揮,為保障系統(tǒng)和數(shù)據(jù)安全打下了堅實的基礎(chǔ)�。
6、江民防馬墻����,能夠第一時間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁,可以自動搜集惡意網(wǎng)址并加入特征庫���,阻止了網(wǎng)頁木馬的傳播�����,有效地保障了用戶的上網(wǎng)安全�����。
7���、全面開啟BOOTSCAN功能,在系統(tǒng)啟動前殺毒�����,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。
8�、禁用系統(tǒng)的自動播放功能,防止病毒通過U盤�����、移動硬盤�、MP3等移動存儲設(shè)備感染計算機(jī)��。
9�、懷疑已中毒的用戶可使用江民免費在線查毒進(jìn)行病毒查證。免費在線查毒地址:http://online.jiangmin.com/chadu.asp
有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢����,或訪問江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。
