中文名稱:“倒霉球”變種ao
病毒長度:400852字節(jié)
病毒類型:木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/Krotten.ao“倒霉球”變種ao是“倒霉球”木馬家族中的最新成員之一�,采用“Microsoft Visual Basic 5.0 / 6.0”編寫�,并且經(jīng)過加殼保護(hù)處理�。“倒霉球”變種ao運行后,會自我復(fù)制到被感染計算機(jī)系統(tǒng)的“C:Program FilesWindows Media Player”和“%SystemRoot%system32”目錄下�����,分別重新命名為“wmpnetwk.exe”和“windowsupdata.log”��。“wmpnetwk.exe”運行后��,會自我復(fù)制到“%SystemRoot%system32”目錄下并重新命名為“nvuninst.exe”���,同時還會釋放“nvsrc.exe”���、“update.exe”到相同目錄和“C:Program FilesWindows Media Player”目錄中��。“update.exe”運行后���,會自我復(fù)制到相同目錄中并重新命名保存。“倒霉球”變種ao所釋放的木馬“nvsrc.exe”運行后��,會在被感染計算機(jī)系統(tǒng)的后臺監(jiān)視移動存儲設(shè)備的接入����,當(dāng)發(fā)現(xiàn)有新的移動設(shè)備接入時,便會將“倒霉球”變種ao復(fù)制到其中并且創(chuàng)建自動運行配置文件“Autorun.inf”����,以此實現(xiàn)雙擊盤符后激活木馬,從而達(dá)到了利用U盤���、移動硬盤����、SD卡等移動存儲設(shè)備進(jìn)行自我傳播的目的�,給被感染計算機(jī)用戶造成了更多威脅。“倒霉球”變種ao所釋放的木馬“update.exe”是一個功能強(qiáng)大的遠(yuǎn)程控制類木馬服務(wù)器端�,運行后會將代碼注入“svchost.exe”進(jìn)程中隱蔽運行,防止被輕易地發(fā)現(xiàn)和查殺����。嘗試與客戶端進(jìn)行連接��,如果連接成功����,則被感染計算機(jī)就會淪為駭客的傀儡主機(jī)�。駭客通過該木馬可以向被感染計算機(jī)發(fā)送任意指令、執(zhí)行惡意操作���,其中包括文件管理�����、進(jìn)程控制、注冊表操作�����、遠(yuǎn)程命令執(zhí)行�,甚至是屏幕監(jiān)控、鍵盤監(jiān)聽�、鼠標(biāo)控制、音視頻監(jiān)控(包括對攝像頭控制)等�,給被感染計算機(jī)用戶的個人隱私��、商業(yè)機(jī)密造成不同程度的威脅���。駭客通過該木馬還可以向傀儡主機(jī)發(fā)送大量的惡意程序,從而使得被感染計算機(jī)用戶遭受更多的侵害����。另外,“倒霉球”變種ao會通過注冊系統(tǒng)服務(wù)的方式來實現(xiàn)開機(jī)后木馬的自啟動�����。同時�����,還會通過在“啟動”文件夾中添加快捷方式的方式來實現(xiàn)開機(jī)自啟�����。
英文名稱:Trojan/Agent.bruf
中文名稱:“代理木馬”變種bruf
病毒長度:63488字節(jié)
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Trojan/Agent.bruf“代理木馬”變種bruf是“代理木馬”家族中的最新成員之一�,采用高級語言編寫,并且經(jīng)過加殼保護(hù)處理�����。“代理木馬”變種bruf運行后,會在被感染計算機(jī)系統(tǒng)的“%SystemRoot%system32”目錄下釋放一個惡意DLL功能組件����,文件名隨機(jī)生成。同時會將該組件插入到“explorer.exe”���、“winlogon.exe”等進(jìn)程中加載運行���,隱藏自我,防止被查殺��。該組件運行后����,會自我復(fù)制到被感染計算機(jī)的“%SystemRoot%system32”目錄下,文件名隨機(jī)生成����,并調(diào)用運行����。這兩個惡意組件會在后臺不停嘗試連接駭客指定的站點“http://*.12.*.75/go/?”,讀取相應(yīng)的配置文件����,并在后臺下載其它的惡意程序并自動調(diào)用運行����。其中�����,所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬�����、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等����,會給用戶造成不同程度的損失。“代理木馬”變種bruf在執(zhí)行完畢后會將自身刪除�,從而達(dá)到了消除痕跡的目的。另外�����,該木馬會通過在注冊表啟動項中添加鍵值��、注冊瀏覽器輔助對象等多種方式來實現(xiàn)木馬開機(jī)后的自動運行。
針對以上病毒����,江民反病毒中心建議廣大電腦用戶:
1、請立即升級江民殺毒軟件��,開啟新一代智能分級高速殺毒引擎及各項監(jiān)控��,防止目前盛行的病毒�、木馬、有害程序或代碼等攻擊用戶計算機(jī)�����。
2���、江民KV網(wǎng)絡(luò)版的用戶請及時升級控制中心���,并建議相關(guān)管理人員在適當(dāng)時候進(jìn)行全網(wǎng)查殺病毒,保證企業(yè)信息安全���。
3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)��,能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進(jìn)行脫殼掃描��,有效清除“殼病毒”��。
4�、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能,該功能可對病毒試圖下載惡意程序����、強(qiáng)行篡改系統(tǒng)時間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動干預(yù)���、處理���,有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞,更大程度的提高了計算機(jī)對于未知病毒的防范能力��。
5�����、江民殺毒軟件擁有強(qiáng)大的自防御體系�,能有效阻止“驅(qū)動級病毒”關(guān)閉和破壞殺毒軟件,確保殺毒軟件所有功能的完全發(fā)揮����,為保障系統(tǒng)和數(shù)據(jù)安全打下了堅實的基礎(chǔ)���。
6、江民防馬墻���,能夠第一時間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁�,可以自動搜集惡意網(wǎng)址并加入特征庫���,阻止了網(wǎng)頁木馬的傳播�,有效地保障了用戶的上網(wǎng)安全�����。
7����、全面開啟BOOTSCAN功能,在系統(tǒng)啟動前殺毒�,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。
8����、禁用系統(tǒng)的自動播放功能��,防止病毒通過U盤、移動硬盤�、MP3等移動存儲設(shè)備感染計算機(jī)。
9���、懷疑已中毒的用戶可使用江民免費在線查毒進(jìn)行病毒查證���。免費在線查毒地址:http://online.jiangmin.com/chadu.asp
有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢,或訪問江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱�。
