中文名稱:“倒霉球”變種ao
      病毒長度:400852字節(jié)
      病毒類型:木馬
      危險級別:★
      影響平臺:Win 9X/ME/NT/2000/XP/2003
      Trojan/Krotten.ao“倒霉球”變種ao是“倒霉球”木馬家族中的最新成員之一,采用“Microsoft Visual Basic 5.0 / 6.0”編寫,并且經(jīng)過加殼保護(hù)處理。“倒霉球”變種ao運行后,會自我復(fù)制到被感染計算機(jī)系統(tǒng)的“C:Program FilesWindows Media Player”和“%SystemRoot%system32”目錄下,分別重新命名為“wmpnetwk.exe”和“windowsupdata.log”。“wmpnetwk.exe”運行后,會自我復(fù)制到“%SystemRoot%system32”目錄下并重新命名為“nvuninst.exe”,同時還會釋放“nvsrc.exe”、“update.exe”到相同目錄和“C:Program FilesWindows Media Player”目錄中。“update.exe”運行后,會自我復(fù)制到相同目錄中并重新命名保存。“倒霉球”變種ao所釋放的木馬“nvsrc.exe”運行后,會在被感染計算機(jī)系統(tǒng)的后臺監(jiān)視移動存儲設(shè)備的接入,當(dāng)發(fā)現(xiàn)有新的移動設(shè)備接入時,便會將“倒霉球”變種ao復(fù)制到其中并且創(chuàng)建自動運行配置文件“Autorun.inf”,以此實現(xiàn)雙擊盤符后激活木馬,從而達(dá)到了利用U盤、移動硬盤、SD卡等移動存儲設(shè)備進(jìn)行自我傳播的目的,給被感染計算機(jī)用戶造成了更多威脅。“倒霉球”變種ao所釋放的木馬“update.exe”是一個功能強(qiáng)大的遠(yuǎn)程控制類木馬服務(wù)器端,運行后會將代碼注入“svchost.exe”進(jìn)程中隱蔽運行,防止被輕易地發(fā)現(xiàn)和查殺。嘗試與客戶端進(jìn)行連接,如果連接成功,則被感染計算機(jī)就會淪為駭客的傀儡主機(jī)。駭客通過該木馬可以向被感染計算機(jī)發(fā)送任意指令、執(zhí)行惡意操作,其中包括文件管理、進(jìn)程控制、注冊表操作、遠(yuǎn)程命令執(zhí)行,甚至是屏幕監(jiān)控、鍵盤監(jiān)聽、鼠標(biāo)控制、音視頻監(jiān)控(包括對攝像頭控制)等,給被感染計算機(jī)用戶的個人隱私、商業(yè)機(jī)密造成不同程度的威脅。駭客通過該木馬還可以向傀儡主機(jī)發(fā)送大量的惡意程序,從而使得被感染計算機(jī)用戶遭受更多的侵害。另外,“倒霉球”變種ao會通過注冊系統(tǒng)服務(wù)的方式來實現(xiàn)開機(jī)后木馬的自啟動。同時,還會通過在“啟動”文件夾中添加快捷方式的方式來實現(xiàn)開機(jī)自啟。

      英文名稱:Trojan/Agent.bruf
      中文名稱:“代理木馬”變種bruf
      病毒長度:63488字節(jié)
      病毒類型:木馬
      危險級別:★★
      影響平臺:Win 9X/ME/NT/2000/XP/2003
      Trojan/Agent.bruf“代理木馬”變種bruf是“代理木馬”家族中的最新成員之一,采用高級語言編寫,并且經(jīng)過加殼保護(hù)處理。“代理木馬”變種bruf運行后,會在被感染計算機(jī)系統(tǒng)的“%SystemRoot%system32”目錄下釋放一個惡意DLL功能組件,文件名隨機(jī)生成。同時會將該組件插入到“explorer.exe”、“winlogon.exe”等進(jìn)程中加載運行,隱藏自我,防止被查殺。該組件運行后,會自我復(fù)制到被感染計算機(jī)的“%SystemRoot%system32”目錄下,文件名隨機(jī)生成,并調(diào)用運行。這兩個惡意組件會在后臺不停嘗試連接駭客指定的站點“http://*.12.*.75/go/?”,讀取相應(yīng)的配置文件,并在后臺下載其它的惡意程序并自動調(diào)用運行。其中,所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等,會給用戶造成不同程度的損失。“代理木馬”變種bruf在執(zhí)行完畢后會將自身刪除,從而達(dá)到了消除痕跡的目的。另外,該木馬會通過在注冊表啟動項中添加鍵值、注冊瀏覽器輔助對象等多種方式來實現(xiàn)木馬開機(jī)后的自動運行。

      針對以上病毒,江民反病毒中心建議廣大電腦用戶:

    1、請立即升級江民殺毒軟件,開啟新一代智能分級高速殺毒引擎及各項監(jiān)控,防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機(jī)。
    2、江民KV網(wǎng)絡(luò)版的用戶請及時升級控制中心,并建議相關(guān)管理人員在適當(dāng)時候進(jìn)行全網(wǎng)查殺病毒,保證企業(yè)信息安全。
    3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù),能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進(jìn)行脫殼掃描,有效清除“殼病毒”。
    4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能,該功能可對病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動干預(yù)、處理,有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞,更大程度的提高了計算機(jī)對于未知病毒的防范能力。
    5、江民殺毒軟件擁有強(qiáng)大的自防御體系,能有效阻止“驅(qū)動級病毒”關(guān)閉和破壞殺毒軟件,確保殺毒軟件所有功能的完全發(fā)揮,為保障系統(tǒng)和數(shù)據(jù)安全打下了堅實的基礎(chǔ)。
    6、江民防馬墻,能夠第一時間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁,可以自動搜集惡意網(wǎng)址并加入特征庫,阻止了網(wǎng)頁木馬的傳播,有效地保障了用戶的上網(wǎng)安全。
    7、全面開啟BOOTSCAN功能,在系統(tǒng)啟動前殺毒,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。
    8、禁用系統(tǒng)的自動播放功能,防止病毒通過U盤、移動硬盤、MP3等移動存儲設(shè)備感染計算機(jī)。
    9、懷疑已中毒的用戶可使用江民免費在線查毒進(jìn)行病毒查證。免費在線查毒地址:http://online.jiangmin.com/chadu.asp

    有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢,或訪問江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。

 

分享到

yajing

相關(guān)推薦