中文名稱:“代理木馬”變種pyx
病毒長度:442368字節(jié)
病毒類型:木馬釋放器
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.pyx“代理木馬”變種pyx是“代理木馬”木馬家族中的最新成員之一����,采用“Microsoft Visual C++ 7.0”編寫�。“代理木馬”變種pyx運(yùn)行后��,會自我復(fù)制到被感染計算機(jī)系統(tǒng)的“%SYSTEMROOT%system32”目錄下����,并重新命名為“compbatc.exe”。同時���,還會向系統(tǒng)文件夾中釋放病毒文件���,并設(shè)置這些病毒文件的時間屬性為系統(tǒng)創(chuàng)建日期,以此來迷惑用戶�,防止用戶通過文件時間來查找病毒文件。創(chuàng)建“svchost.exe”進(jìn)程����,將自身及病毒文件注入其中運(yùn)行;之后將病毒自身進(jìn)程結(jié)束�,以達(dá)到隱蔽自我,防止被用戶和安全軟件輕易發(fā)現(xiàn)�、查殺的目的。在被感染計算機(jī)中注冊名為“compbatc”和“compbatcDrv”的系統(tǒng)服務(wù)���,以此實(shí)現(xiàn)木馬在開機(jī)后的自啟動�����。在被感染計算機(jī)的后臺遍歷當(dāng)前系統(tǒng)中的所有進(jìn)程�����,一旦發(fā)現(xiàn)指定的進(jìn)程存在�,便會以多種方式嘗試將其結(jié)束;篡改系統(tǒng)Hosts文件�����,阻止用戶升級殺毒軟件或訪問某些與安全相關(guān)的網(wǎng)站�,不但降低了用戶計算機(jī)抵御風(fēng)險的能力,并且為病毒的進(jìn)一步破壞做好了鋪墊����。在被感染計算機(jī)的后臺秘密下載駭客指定的病毒配置文件“http://www.ush******art.com/kernel/cmd.txt”�,并根據(jù)配置文件的設(shè)置下載惡意程序并調(diào)用運(yùn)行。其中����,所下載的惡意程序包括網(wǎng)絡(luò)游戲盜號木馬����、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等�,會給用戶造成不同程度的損失。同時���,“代理木馬”變種pyx還會根據(jù)配置文件中的參數(shù)���,使用多種DDoS手段向指定的目標(biāo)發(fā)起惡意攻擊,對互聯(lián)網(wǎng)的安全環(huán)境造成了更大的沖擊和破壞�。另外,該木馬程序還具備自我更新以及向駭客報告用戶感染情況的功能����。
英文名稱:Worm/AutoRun.xb
中文名稱:“U盤寄生蟲”變種xb
病毒長度:25600字節(jié)
病毒類型:蠕蟲
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.xb“U盤寄生蟲”變種xb是“U盤寄生蟲”蠕蟲家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫�����,并且經(jīng)過加殼保護(hù)處理�。“U盤寄生蟲”變種xb運(yùn)行后,會復(fù)制病毒主程序到系統(tǒng)目錄下并重新命名保存���。在被感染計算機(jī)的后臺秘密監(jiān)視正在運(yùn)行的所有窗口標(biāo)題����,一旦發(fā)現(xiàn)標(biāo)題中存在與安全相關(guān)的字符串,便會嘗試結(jié)束其進(jìn)程���;強(qiáng)行篡改注冊表相關(guān)鍵值����,使用戶計算機(jī)系統(tǒng)中“顯示系統(tǒng)隱藏文件”的功能失效����,從而達(dá)到自我保護(hù)的目的,提高了病毒的生存幾率�。“U盤寄生蟲”變種xb還會在被感染計算機(jī)系統(tǒng)中的所有盤符根目錄下創(chuàng)建磁盤映像劫持文件“autorun.inf”和病毒主程序文件(“U盤寄生蟲”變種xb),以實(shí)現(xiàn)雙擊盤符激活“U盤寄生蟲”變種xb��,從而達(dá)到利用U盤�����、移動硬盤�����、SD卡等移動存儲設(shè)備進(jìn)行自我傳播的目的����,給計算機(jī)用戶帶來了更多潛在的安全威脅。該蠕蟲還可能會在被感染計算機(jī)系統(tǒng)的后臺連接駭客指定的遠(yuǎn)程站點(diǎn)�,下載惡意程序并自動調(diào)用運(yùn)行。其中���,所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬��、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等�,為用戶造成不同程度的損失�����。另外��,“U盤寄生蟲”變種xb會在系統(tǒng)注冊表啟動項中添加鍵值��,實(shí)現(xiàn)蠕蟲開機(jī)自啟動����。
針對以上病毒,江民反病毒中心建議廣大電腦用戶:
1���、請立即升級江民殺毒軟件����,開啟新一代智能分級高速殺毒引擎及各項監(jiān)控,防止目前盛行的病毒����、木馬、有害程序或代碼等攻擊用戶計算機(jī)��。
2���、江民KV網(wǎng)絡(luò)版的用戶請及時升級控制中心���,并建議相關(guān)管理人員在適當(dāng)時候進(jìn)行全網(wǎng)查殺病毒,保證企業(yè)信息安全�。
3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)����,能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進(jìn)行脫殼掃描����,有效清除“殼病毒”��。
4�、江民防馬墻�����,能夠第一時間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁���,可以自動搜集惡意網(wǎng)址并加入特征庫,阻止了網(wǎng)頁木馬的傳播����,有效地保障了用戶的上網(wǎng)安全。
5���、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能�����,該功能可對病毒試圖下載惡意程序��、強(qiáng)行篡改系統(tǒng)時間��、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動干預(yù)����、處理,有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞���,更大程度的提高了計算機(jī)對于未知病毒的防范能力��。
6�、江民殺毒軟件擁有強(qiáng)大的自防御體系�����,能有效阻止“驅(qū)動級病毒”關(guān)閉和破壞殺毒軟件���,確保殺毒軟件所有功能的完全發(fā)揮���,為保障系統(tǒng)和數(shù)據(jù)安全打下了堅實(shí)的基礎(chǔ)。
7�����、全面開啟BOOTSCAN功能�,在系統(tǒng)啟動前殺毒,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒���。
8����、盡量不要以雙擊盤符的方式訪問硬盤或移動存儲設(shè)備的分區(qū),而是通過資源管理器中左側(cè)的“樹形目錄”或在地址欄中輸入盤符的方式進(jìn)行訪問�����。
9�、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證�。免費(fèi)在線查毒地址:http://online.jiangmin.com/chadu.asp
有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢,或訪問江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱����。
