病毒名称:Worm.Kido.cc
中文名称:“刻毒虫”变种
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 注册驱动服务,以此实现木马的开机自启
2. 释放恶意驱动程序
3. 执行进程管理、服务控制
4. 创建计划任务,从而激活该蠕虫文件
感染形式:
该病毒是蠕虫病毒。病毒运行后,会移动自身到系统文件夹下,若不成功则进一步尝试移动到“C:\Program Files\Movie Maker\”、“%USERPROFILE%\Application Data\”、“%Temp%”等文件夹下,重新命名为“*.dll”(文件名为随机字符串,不过通常是“bqwzif.dll”)。另外还会释放一个临时的恶意驱动程序。病毒运行后,会将恶意程序插入“svchost.exe”或者“explorer.exe”进程之中隐秘运行。关闭系统自动更新服务(wuauserv)、后台智能传输(BITS)服务以及“WinDefend”等服务,并利用自带的密码表对使用弱口令的网上邻居进行口令猜解。一旦猜解成功,便会通过MS08-067漏洞向该网上邻居发送一个特定的RPC请求,用于下载kido主程序并创建计划任务,从而激活该蠕虫文件,同时下载其它的恶意程序,用户可能因此而遭受信息泄露、远程控制、垃圾邮件等侵害。病毒还可通过移动存储设备进行传播,当其发现有新的移动存储设备接入时,便会在其根目录下创建文件夹“RECYCLER\S-*-*-*-*-*-*-*”(*为随机字符串),并在其中生成自身副本“*.vmx”(文件名随机,不过通常是“jwgkvsq.vmx”),同时在根目录下创建“autorun.inf”,设置上述文件及文件夹属性为“系统、只读、隐藏”,以此实现利用系统自动播放功能进行传播的目的。病毒会在被感染系统中新建一个随机名称的系统服务,并通过“svchost.exe”或“services.exe”实现开机自动运行。其还会修改文件和注册表的访问控制对象,致使用户无法删除自身产生的文件和注册表项。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒名称:Trojan.Vilsel.dx
中文名称:“危鬼”变种
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 注册系统服务实现开机自启
2. 发送的恶意指令
3. 执行进程管理、服务控制
4. 注册驱动服务,以此实现木马的开机自启
感染形式:
这是一个木马病毒,病毒运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”目录下,重新命名为“scvhost.exe”。在该目录下释放恶意DLL组件“*.dll”,文件名随机。另外还会在“%SystemRoot%\”、“%SystemRoot%\system32\drivers\”目录下分别释放恶意程序,并复制系统文件“wininet.dll”到临时文件夹下以供调用。利用其释放的恶意驱动程序,病毒通过对该文件进行调用,使得用户开机时能够正常显示桌面,以此蒙蔽了用户。其会监视并关闭可能弹出的“Windows文件保护”窗口,从而使其在替换系统文件时不被用户所发现。在被感染系统的后台连接经过多次解密后得到的URL“http://txt.xintongj*.com/aa35hj.txt”,读取该文件中存放的下载地址,然后下载恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马、广告程序等,致使用户面临更多的威胁。病毒会在被感染系统注册表启动项中添加键值“360safe”,以此实现开机自动运行。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:Backdoor.Honghe.b
中文名称:“河妖”变种
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 修改注册表启动项实现开机自启
2. 连接骇客指定的IP地址
3. 利用可能存在的漏洞进行入侵
4. 注册驱动服务,以此实现木马的开机自启
感染形式:
这是一个后门病毒,病毒运行后,会不断尝试与控制端(地址为:p*t.3322.org:3937)进行连接。如果连接成功,则被感染的计算机就会沦为傀儡主机。骇客可以向被感染的计算机发送恶意指令,从而执行任意控制操作(控制操作包括但不限于:文件管理、进程控制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),会给用户的私密信息造成不同程度的侵害。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户的计算机安全构成严重的威胁。另外,病毒会通过在被感染计算机中注册系统服务的方式实现开机自动运行。
预防和清除:
建议电脑用户采取以下措施预防该病毒:安装安全软件并及时升级,做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
信息提供:
以上信息由上海市信息化服务热线(热线电话:9682000)提供。