中文名稱:“通犯”變種i
病毒長(zhǎng)度:21864字節(jié)
病毒類型:木馬
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
Trojan/Generic.i“通犯”變種i是“通犯”木馬家族中的最新成員之一,采用“Microsoft Visual Basic 5.0 / 6.0”編寫(xiě)��,并且經(jīng)過(guò)加殼保護(hù)處理�����。“通犯”變種i運(yùn)行后���,會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%system32wbem”目錄下�,重新命名為“internat.exe”(文件屬性設(shè)置為:系統(tǒng)、隱藏���、只讀)�����。“通犯”變種i可利用系統(tǒng)自動(dòng)播放功能進(jìn)行傳播�����,會(huì)在被感染計(jì)算機(jī)系統(tǒng)(除系統(tǒng)盤(pán)以外)的所有分區(qū)下創(chuàng)建自動(dòng)播放配置文件“autorun.inf”和木馬主程序文件“internat.exe”�����,并設(shè)置文件屬性為“系統(tǒng)����、隱藏、只讀�����、存檔”����,以此實(shí)現(xiàn)雙擊盤(pán)符激活木馬,從而達(dá)到利用硬盤(pán)分區(qū)�����、U盤(pán)��、移動(dòng)硬盤(pán)��、SD卡等存儲(chǔ)設(shè)備進(jìn)行自我傳播的目的����,給被感染計(jì)算機(jī)系統(tǒng)用戶帶來(lái)潛在的威脅。“通犯”變種i在運(yùn)行時(shí)�,會(huì)在后臺(tái)連接駭客指定的URL“http://v***e.cn/down/net/test.txt”�,讀取配置文件����,下載惡意程序并在被感染計(jì)算機(jī)上調(diào)用運(yùn)行�。其中����,所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬��、遠(yuǎn)程控制后門(mén)或惡意廣告程序(流氓軟件)等�,會(huì)給計(jì)算機(jī)用戶造成不同程度的損失��。同時(shí)��,“通犯”變種i會(huì)篡改系統(tǒng)注冊(cè)表,致使計(jì)算機(jī)系統(tǒng)中的“顯示系統(tǒng)隱藏文件”功能失效�����、“安全模式”被破壞����。“通犯”變種i還會(huì)利用映像劫持,導(dǎo)致大量的安全軟件����、系統(tǒng)工具��、診斷工具等無(wú)法正常運(yùn)行��,極大地降低了被感染計(jì)算機(jī)的安全性�����。另外�,“通犯”變種i會(huì)通過(guò)在被感染系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值的方式實(shí)現(xiàn)開(kāi)機(jī)自啟。
英文名稱:TrojanDropper.Agent.rfa
中文名稱:“代理木馬”變種rfa
病毒長(zhǎng)度:32256字節(jié)
病毒類型:木馬釋放器
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.rfa“代理木馬”變種rfa是“代理木馬”家族中的最新成員之一�,采用高級(jí)語(yǔ)言編寫(xiě)�。“代理木馬”變種rfa運(yùn)行后,會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%system32”目錄下����,重新命名為“rs32net.exe”�。創(chuàng)建“svchost.exe”進(jìn)程,將木馬代碼重組并插入其中調(diào)用運(yùn)行�����,隱藏自我�,防止被查殺。嘗試連接若干個(gè)駭客指定的站點(diǎn)���,讀取配置文件���,下載惡意程序并注入系統(tǒng)進(jìn)程“services.exe”和“svchost.exe”中隱蔽運(yùn)行�����。同時(shí)���,“代理木馬”變種rfa還會(huì)利用進(jìn)程守護(hù)技術(shù)�����,防止病毒進(jìn)程被輕易地結(jié)束�,大大提高了自身的生存幾率����。其中,每個(gè)病毒進(jìn)程都可以向若干隨機(jī)IP地址及端口發(fā)送帶毒郵件和垃圾數(shù)據(jù)包���,嚴(yán)重地影響了被感染計(jì)算機(jī)系統(tǒng)的性能和網(wǎng)絡(luò)帶寬資源�����,給用戶造成了更大程度上的損失���。另外�,“代理木馬”變種rfa會(huì)修改注冊(cè)表啟動(dòng)項(xiàng)��,以此實(shí)現(xiàn)開(kāi)機(jī)后的自動(dòng)運(yùn)行��。
針對(duì)以上病毒�����,江民反病毒中心建議廣大電腦用戶:
1���、請(qǐng)立即升級(jí)江民殺毒軟件���,開(kāi)啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控,防止目前盛行的病毒���、木馬�����、有害程序或代碼等攻擊用戶計(jì)算機(jī)�。
2、江民KV網(wǎng)絡(luò)版的用戶請(qǐng)及時(shí)升級(jí)控制中心���,并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒��,保證企業(yè)信息安全�����。
3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)����,能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進(jìn)行脫殼掃描�,有效清除“殼病毒”。
4���、開(kāi)啟江民殺毒軟件的系統(tǒng)監(jiān)控功能���,該功能可對(duì)病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間����、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)�、處理���,有效地遏制了未知病毒對(duì)系統(tǒng)所造成的干擾和破壞�,更大程度的提高了計(jì)算機(jī)對(duì)于未知病毒的防范能力���。
5����、江民殺毒軟件擁有強(qiáng)大的自防御體系����,能有效阻止“驅(qū)動(dòng)級(jí)病毒”關(guān)閉和破壞殺毒軟件,確保殺毒軟件所有功能的完全發(fā)揮���,為保障系統(tǒng)和數(shù)據(jù)安全打下了堅(jiān)實(shí)的基礎(chǔ)�����。
6��、江民防馬墻�,能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁(yè),可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫(kù)���,阻止了網(wǎng)頁(yè)木馬的傳播�����,有效地保障了用戶的上網(wǎng)安全����。
7�、全面開(kāi)啟BOOTSCAN功能,在系統(tǒng)啟動(dòng)前殺毒���,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。
8��、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證��。免費(fèi)在線查毒地址:http://online.jiangmin.com/chadu.asp
有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢��,或訪問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱�����。
