中文名稱(chēng):“駐郵蟲(chóng)”變種az
病毒長(zhǎng)度:43520字節(jié)
病毒類(lèi)型:蠕蟲(chóng)
危險(xiǎn)級(jí)別:★★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
I-Worm/Joleee.az“駐郵蟲(chóng)”變種az是“駐郵蟲(chóng)”蠕蟲(chóng)家族中的最新成員之一,采用高級(jí)語(yǔ)言編寫(xiě)�。“駐郵蟲(chóng)”變種az運(yùn)行后�,會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%”目錄下����,重新命名為“services.exe”。關(guān)閉Windows安全中心和Windows防火墻服務(wù)�,通過(guò)強(qiáng)行篡改注冊(cè)表相關(guān)鍵值的方式將上述服務(wù)設(shè)為“禁用”,并將蠕蟲(chóng)自身添加到防火墻允許的程序列表中�����。釋放并重新組合惡意代碼到指定內(nèi)存區(qū)域����,從而實(shí)現(xiàn)隱蔽運(yùn)行,防止被輕易地發(fā)現(xiàn)和查殺�����。該惡意代碼執(zhí)行后,會(huì)在被感染計(jì)算機(jī)系統(tǒng)后臺(tái)秘密連接駭客指定的服務(wù)器URL“http://*.51.*.137/spm/s_alive.php?id=&tick=&ver=&smtp=ok”���,讀取加密地址��,獲取配置文件�,其中存有大量隨機(jī)的郵箱地址�。在被感染計(jì)算機(jī)上搜索有效的郵箱賬戶(hù),并通過(guò)搜索到的賬戶(hù)向隨機(jī)的郵箱地址發(fā)送大量的帶毒郵件���,從而實(shí)現(xiàn)了利用郵件進(jìn)行自我傳播���。同時(shí),“駐郵蟲(chóng)”變種az在運(yùn)行時(shí)會(huì)通過(guò)批處理文件不斷地調(diào)用自身�����,這將導(dǎo)致“駐郵蟲(chóng)”變種az的進(jìn)程被不斷地創(chuàng)建�����,大大地消耗了系統(tǒng)資源�����,嚴(yán)重地影響了計(jì)算機(jī)用戶(hù)對(duì)系統(tǒng)的正常操作與使用。“駐郵蟲(chóng)”變種az所釋放的惡意代碼在某些情況下還可能會(huì)生成病毒文件“mpcsvc.exe”�,并通過(guò)創(chuàng)建注冊(cè)表啟動(dòng)項(xiàng)來(lái)達(dá)到其開(kāi)機(jī)的自動(dòng)運(yùn)行。另外�����,“駐郵蟲(chóng)”變種az會(huì)通過(guò)在系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加鍵值的方式來(lái)實(shí)現(xiàn)開(kāi)機(jī)自啟��。
英文名稱(chēng):Trojan/Generic.k
中文名稱(chēng):“通犯”變種k
病毒長(zhǎng)度:43457字節(jié)
病毒類(lèi)型:木馬
危險(xiǎn)級(jí)別:★
影響平臺(tái):Win 9X/ME/NT/2000/XP/2003
Trojan/Generic.k“通犯”變種k是“通犯”木馬家族中的最新成員之一����,采用“Microsoft Visual C++ 6.0”編寫(xiě)���,經(jīng)過(guò)加殼保護(hù)處理����,將自身圖標(biāo)偽裝成“Windows Media Player”圖標(biāo)��,誘騙用戶(hù)點(diǎn)擊運(yùn)行��。“通犯”變種k運(yùn)行后��,會(huì)強(qiáng)行篡改IE瀏覽器主頁(yè)為“http://www.bi**mu.cn”,同時(shí)禁用“Internet 選項(xiàng)”功能����,禁止用戶(hù)修改IE首頁(yè)設(shè)置。在桌面生成指向“http://www.ji***13.cn”和“http://www.**465.cn”的IE快捷方式�����,誘導(dǎo)用戶(hù)進(jìn)行點(diǎn)擊��,提升了這兩個(gè)網(wǎng)站的訪(fǎng)問(wèn)量�。同時(shí)還會(huì)在后臺(tái)自動(dòng)下載大量程序,未經(jīng)用戶(hù)同意便安裝到計(jì)算機(jī)中�����,從而侵犯了被感染計(jì)算機(jī)用戶(hù)的個(gè)人合法權(quán)益���,為駭客謀取了非法利益�����。同時(shí)�,這些程序還會(huì)通過(guò)彈出廣告等方式干擾用戶(hù)對(duì)計(jì)算機(jī)系統(tǒng)的正常使用����,大大地侵占了系統(tǒng)資源����,給用戶(hù)造成了更多不同程度的影響�。另外,“通犯”變種k還會(huì)嘗試結(jié)束部分安全軟件的進(jìn)程���,并連接駭客指定站點(diǎn)“http://www.59**dd.cn/”���,進(jìn)行木馬的自升級(jí)和下載其它惡意程序并調(diào)用運(yùn)行,從而導(dǎo)致被感染計(jì)算機(jī)用戶(hù)遭受賬號(hào)失竊�����、遠(yuǎn)程控制等不同類(lèi)型的安全威脅���。
針對(duì)以上病毒,江民反病毒中心建議廣大電腦用戶(hù):
1��、請(qǐng)立即升級(jí)江民殺毒軟件���,開(kāi)啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控��,防止目前盛行的病毒���、木馬�、有害程序或代碼等攻擊用戶(hù)計(jì)算機(jī)��。
2���、江民KV網(wǎng)絡(luò)版的用戶(hù)請(qǐng)及時(shí)升級(jí)控制中心�����,并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒�,保證企業(yè)信息安全���。
3����、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)��,能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”��、“生僻殼”病毒進(jìn)行脫殼掃描��,有效清除“殼病毒”。
4��、開(kāi)啟江民殺毒軟件的系統(tǒng)監(jiān)控功能��,該功能可對(duì)病毒試圖下載惡意程序�����、強(qiáng)行篡改系統(tǒng)時(shí)間�、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)、處理�,有效地遏制了未知病毒對(duì)系統(tǒng)所造成的干擾和破壞,更大程度的提高了計(jì)算機(jī)對(duì)于未知病毒的防范能力�。
5、江民殺毒軟件擁有強(qiáng)大的自防御體系�����,能有效阻止“驅(qū)動(dòng)級(jí)病毒”關(guān)閉和破壞殺毒軟件�,確保殺毒軟件所有功能的完全發(fā)揮,為保障系統(tǒng)和數(shù)據(jù)安全打下了堅(jiān)實(shí)的基礎(chǔ)���。
6、江民防馬墻�,能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁(yè)����,可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫(kù)�����,阻止了網(wǎng)頁(yè)木馬的傳播����,有效地保障了用戶(hù)的上網(wǎng)安全。
7���、全面開(kāi)啟BOOTSCAN功能�,在系統(tǒng)啟動(dòng)前殺毒����,清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。
8�、懷疑已中毒的用戶(hù)可使用江民免費(fèi)在線(xiàn)查毒進(jìn)行病毒查證。免費(fèi)在線(xiàn)查毒地址:http://online.jiangmin.com/chadu.asp
有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線(xiàn)800-810-2300和010-82511177進(jìn)行咨詢(xún)���,或訪(fǎng)問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線(xiàn)查閱�。
