病毒名称:“伪程序变种cbu”(Trojan.Antavmu.cbu)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述及危害:
这是一个木马病毒,病毒运行后,会执行命令“cacls.exe %SystemRoot%\system32\cmd.exe /e /t /g everyone:F”来赋予所有用户对cmd.exe的控制权限。将被感染系统“%programfiles%\360safe\safemon\”文件夹下的DLL组件“safemon.dll”重命名为“safemes.dll”,将“%programfiles%\Rising\AntiSpyware\”文件夹下的DLL组件“ieprot.dll”重命名为“iepret.dll”。删除“%SystemRoot%\system32\”文件夹下的旧版本病毒文件。创建进程快照,如果发现名为“shstat.exe”等进程,则会试图强行结束该进程。其会在被感染计算机系统的“%SystemRoot%\”文件夹下释放恶意程序“BarClientServer.exe”,在“%SystemRoot%\system32\”文件夹下释放“inertno.exe”,并将以上文件属性设置为“系统、隐藏”。在“%SystemRoot%\system32\”文件夹下释放配置文件“ttjj34.ini”。在被感染系统的后台连接骇客指定的站点“www.caif*678.cn:81/rc/xms/”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。在被感染系统中新建名为“new1”、密码为“12369”的用户,为骇客留下后门,致使被感染系统可被不法分子远程登录、控制,进而沦为攻击跳板或肉鸡。病毒在被感染系统中安装完毕后,会创建批处理文件“2.bat”并在后台调用执行,以此将自身删除。另外,其会通过修改已有服务“helpsvc”的方式实现自动运行。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“AV杀手变种et”(TrojanDropper.Killav.et)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述及危害:
这是一个木马释放器,病毒运行后,会在被感染系统的“%SystemRoot%\”文件夹下释放恶意文件“bebug.exe”并调用执行。“bebug.exe”运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“lqcyc52.cyc”,然后把“lqcyc52.cyc”复制到“%USERPROFILE%\Local Settings\Temp\”文件夹下,重新命名为“setupapi.dll”。在“%SystemRoot%\”下释放“CycCtrl.exe”。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现某些指定的安全软件存在,“bebug.exe”便会尝试将其强行关闭,从而达到自我保护的目的。“bebug.exe”会在被感染系统的后台连接骇客指定的站点“http://qq.s*ws.com/”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,其会访问骇客指定的URL,以此对被感染系统进行数量统计。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“密服变种g”(Trojan.Servstar.g)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述及危害:
这是一个木马病毒,病毒运行后,会在被感染系统内取得权限“SeBackupPrivilege”。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现“RavMonD.exe”存在,则会弹出窗口标题和窗口类名都为“Kingsoft”的窗口。病毒还会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意程序“wi559578nd.temp”。遍历当前系统中所运行的进程,如果存在“avp.exe”则把“wi559578nd.temp”复制到“%programfiles%\srchasst\”文件夹下,重新命名为“svchost.exe”。如果不存在“avp.exe”,则把“wi559578nd.temp”复制到“%programfiles%\srchasst\”文件夹下,重新命名为“svchost.scr”。秘密连接骇客指定的站点“xi*g97.3322.org”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过病毒完全远程控制被感染的计算机系统,从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。另外,病毒在运行完成后会创建批处理文件“afc9fe2f418b00a0.bat”并在后台调用执行,以此将自身删除。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
信息提供:
以上信息由上海市信息化服务热线(热线电话:9682000)提供。