中文名稱:“倒霉球”變種ao
病毒長(zhǎng)度:400852字節(jié)
病毒類型:木馬
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
Trojan/Krotten.ao“倒霉球”變種ao是“倒霉球”木馬家族中的最新成員之一�����,采用“Microsoft Visual Basic 5.0 / 6.0”編寫���,并且經(jīng)過(guò)加殼保護(hù)處理��。“倒霉球”變種ao運(yùn)行后�,會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“C:Program FilesWindows Media Player”和“%SystemRoot%system32”目錄下,分別重新命名為“wmpnetwk.exe”和“windowsupdata.log”���。“wmpnetwk.exe”運(yùn)行后���,會(huì)自我復(fù)制到“%SystemRoot%system32”目錄下并重新命名為“nvuninst.exe”,同時(shí)還會(huì)釋放“nvsrc.exe”���、“update.exe”到相同目錄和“C:Program FilesWindows Media Player”目錄中��。“update.exe”運(yùn)行后�,會(huì)自我復(fù)制到相同目錄中并重新命名保存。“倒霉球”變種ao所釋放的木馬“nvsrc.exe”運(yùn)行后���,會(huì)在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)監(jiān)視移動(dòng)存儲(chǔ)設(shè)備的接入����,當(dāng)發(fā)現(xiàn)有新的移動(dòng)設(shè)備接入時(shí)��,便會(huì)將“倒霉球”變種ao復(fù)制到其中并且創(chuàng)建自動(dòng)運(yùn)行配置文件“Autorun.inf”�,以此實(shí)現(xiàn)雙擊盤符后激活木馬�,從而達(dá)到了利用U盤、移動(dòng)硬盤����、SD卡等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行自我傳播的目的,給被感染計(jì)算機(jī)用戶造成了更多威脅�����。“倒霉球”變種ao所釋放的木馬“update.exe”是一個(gè)功能強(qiáng)大的遠(yuǎn)程控制類木馬服務(wù)器端�,運(yùn)行后會(huì)將代碼注入“svchost.exe”進(jìn)程中隱蔽運(yùn)行���,防止被輕易地發(fā)現(xiàn)和查殺。嘗試與客戶端進(jìn)行連接��,如果連接成功�����,則被感染計(jì)算機(jī)就會(huì)淪為駭客的傀儡主機(jī)��。駭客通過(guò)該木馬可以向被感染計(jì)算機(jī)發(fā)送任意指令�、執(zhí)行惡意操作,其中包括文件管理����、進(jìn)程控制、注冊(cè)表操作��、遠(yuǎn)程命令執(zhí)行�����,甚至是屏幕監(jiān)控��、鍵盤監(jiān)聽、鼠標(biāo)控制���、音視頻監(jiān)控(包括對(duì)攝像頭控制)等��,給被感染計(jì)算機(jī)用戶的個(gè)人隱私�、商業(yè)機(jī)密造成不同程度的威脅�����。駭客通過(guò)該木馬還可以向傀儡主機(jī)發(fā)送大量的惡意程序��,從而使得被感染計(jì)算機(jī)用戶遭受更多的侵害�。另外,“倒霉球”變種ao會(huì)通過(guò)注冊(cè)系統(tǒng)服務(wù)的方式來(lái)實(shí)現(xiàn)開機(jī)后木馬的自啟動(dòng)�。同時(shí)���,還會(huì)通過(guò)在“啟動(dòng)”文件夾中添加快捷方式的方式來(lái)實(shí)現(xiàn)開機(jī)自啟��。
英文名稱:Trojan/Agent.bruf
中文名稱:“代理木馬”變種bruf
病毒長(zhǎng)度:63488字節(jié)
病毒類型:木馬
危險(xiǎn)級(jí)別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
Trojan/Agent.bruf“代理木馬”變種bruf是“代理木馬”家族中的最新成員之一�����,采用高級(jí)語(yǔ)言編寫��,并且經(jīng)過(guò)加殼保護(hù)處理��。“代理木馬”變種bruf運(yùn)行后�,會(huì)在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%system32”目錄下釋放一個(gè)惡意DLL功能組件,文件名隨機(jī)生成����。同時(shí)會(huì)將該組件插入到“explorer.exe”、“winlogon.exe”等進(jìn)程中加載運(yùn)行���,隱藏自我�����,防止被查殺���。該組件運(yùn)行后,會(huì)自我復(fù)制到被感染計(jì)算機(jī)的“%SystemRoot%system32”目錄下���,文件名隨機(jī)生成����,并調(diào)用運(yùn)行���。這兩個(gè)惡意組件會(huì)在后臺(tái)不停嘗試連接駭客指定的站點(diǎn)“http://*.12.*.75/go/?”�����,讀取相應(yīng)的配置文件�,并在后臺(tái)下載其它的惡意程序并自動(dòng)調(diào)用運(yùn)行。其中���,所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號(hào)木馬����、遠(yuǎn)程控制后門或惡意廣告程序(流氓軟件)等���,會(huì)給用戶造成不同程度的損失����。“代理木馬”變種bruf在執(zhí)行完畢后會(huì)將自身刪除�����,從而達(dá)到了消除痕跡的目的����。另外,該木馬會(huì)通過(guò)在注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值���、注冊(cè)瀏覽器輔助對(duì)象等多種方式來(lái)實(shí)現(xiàn)木馬開機(jī)后的自動(dòng)運(yùn)行����。
針對(duì)以上病毒�����,江民反病毒中心建議廣大電腦用戶:
1�����、請(qǐng)立即升級(jí)江民殺毒軟件��,開啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控���,防止目前盛行的病毒��、木馬�、有害程序或代碼等攻擊用戶計(jì)算機(jī)�。
2、江民KV網(wǎng)絡(luò)版的用戶請(qǐng)及時(shí)升級(jí)控制中心���,并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒����,保證企業(yè)信息安全。
3����、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù),能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”�、“生僻殼”病毒進(jìn)行脫殼掃描,有效清除“殼病毒”��。
4����、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能,該功能可對(duì)病毒試圖下載惡意程序�、強(qiáng)行篡改系統(tǒng)時(shí)間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)����、處理,有效地遏制了未知病毒對(duì)系統(tǒng)所造成的干擾和破壞����,更大程度的提高了計(jì)算機(jī)對(duì)于未知病毒的防范能力。
5����、江民殺毒軟件擁有強(qiáng)大的自防御體系,能有效阻止“驅(qū)動(dòng)級(jí)病毒”關(guān)閉和破壞殺毒軟件��,確保殺毒軟件所有功能的完全發(fā)揮����,為保障系統(tǒng)和數(shù)據(jù)安全打下了堅(jiān)實(shí)的基礎(chǔ)。
6�����、江民防馬墻�,能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁(yè),可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫(kù)��,阻止了網(wǎng)頁(yè)木馬的傳播�,有效地保障了用戶的上網(wǎng)安全。
7�、全面開啟BOOTSCAN功能,在系統(tǒng)啟動(dòng)前殺毒�����,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。
8���、禁用系統(tǒng)的自動(dòng)播放功能�,防止病毒通過(guò)U盤��、移動(dòng)硬盤�、MP3等移動(dòng)存儲(chǔ)設(shè)備感染計(jì)算機(jī)。
9�����、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證�。免費(fèi)在線查毒地址:http://online.jiangmin.com/chadu.asp
有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢,或訪問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱���。
