病毒名称:“卡徒兽变种”(TrojanSpy.KeyLogger.copg)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述:
这是一个木马释放器,病毒运行后会自我复制到被感染系统的“%SystemRoot%\system32\”目录下,重新命名为“scvhost.exe”。在该目录下释放恶意DLL组件“*.dll”(*代表随机数),在“%SystemRoot%\”目录下释放恶意程序“a*.exe”,在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”,另外还会复制系统文件“wininet.dll”到临时文件夹下以方便调用。利用其释放的恶意驱动程序,病毒可以穿透一些系统还原程序的保护,并用恶意文件覆盖“explorer.exe”。其会用正常的“explorer.exe”替换“%SystemRoot%\system32\drivers\gm.dls”,之后将其复制到“%SystemRoot%\TEMP\explorer.exe”,通过对该文件进行调用,使得用户开机时能够正常显示桌面,以此蒙蔽了用户。其会监视并关闭可能弹出的“Windows文件保护”窗口,从而使其在替换系统文件时不被用户所发现。病毒会关闭并禁用系统防火墙、Windows安全中心服务。关闭安全软件的自我保护功能,终止大量的安全软件、系统工具、应用程序的进程,同时还会通过关闭相关的服务、删除关键文件、利用注册表映像劫持等方式,干扰这些安全软件的正常运行,致使用户的计算机失去保护。在被感染系统的后台连接经过多次解密后得到的URL“http://www.86r*.cn/down.txt”,读取该文件中存放的下载地址,然后下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马、广告程序等,致使用户面临更多的威胁。另外,其还会向骇客指定的页面“http://www.qq3*1.cn/count.asp”反馈被感染计算机的基本信息。病毒会在被感染系统注册表启动项中添加键值“360safe”,以此实现开机自动运行。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒名称:“比福洛斯变种”(Backdoor.Bifrose.qcw)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 注册服务实现开机自动运行
2. 自我复制到被感染系统
3. 连接骇客指定的站点
4. 下载其它恶意程序并调用运行
病毒特征描述:
这是一个后门病毒,会将加密的恶意代码注入到“explorer.exe”和新建的“iexplore.exe”进程中隐秘运行,同时会将“iexplore.exe”进程隐藏,避免被轻易地查杀。“比福洛斯”变种qcw运行时,会试图关闭某些特定的杀毒软件及防火墙进程。不断尝试与控制端(地址为:h00700.no*ip.org:81)进行连接,如果连接成功,则被感染的计算机便会成为傀儡主机,并进行下载其它恶意程序、建立代理服务、开启后门等等恶意操作,从而给用户的信息安全构成更加严重的威胁。病毒可能会将自身复制到“%USERPROFILE%\Application Data\”文件夹下,并会通过在注册表启动项中添加键值的方式实现开机自启动。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“注册表蛀虫变种”(Trojan.Regrun.cpb)”
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述:
这是一个木马病毒,病毒运行后将自身图标设置成微软Word文档样式,以此诱骗系统用户点击运行。运行后,其会复制自身到临时文件夹下,重新命名为“svchost.exe”。连接骇客指定站点,下载恶意程序“http://aliagakimy*.com/img/top.gif”并调用运行。另外,其会通过修改注册表“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”下相关键值的方式实现开机自启。
预防和清除:
建议电脑用户采取以下措施预防该病毒:安装安全软件并及时升级,做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
信息提供:
以上信息由上海市信息化服务热线(热线电话:9682000)提供。