病毒名称:“密服变种”(Trojan.Servstar.o)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述及危害:
这是一个木马病毒,病毒运行后,会在被感染系统内提升自身权限为“SeBackupPrivilege”。在被感染计算机的后台遍历当前系统中运行的所有进程,如果发现“RavMonD.exe”存在,则会弹出标题和类名都为“Kingsoft”的窗口。病毒会在被感染系统的“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意程序“wi469343nd.temp”。遍历当前系统中所运行的进程,如果存在“avp.exe”则把“wi469343nd.temp”复制到“%programfiles%\”文件夹下,重新命名为“tqfisi.exe”。如果不存在“avp.exe”,则把“wi469343nd.temp”复制到“%programfiles%\”文件夹下,重命名为“svchost.scr”。病毒还会秘密连接骇客指定的站点“3.kil*bc.com”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过病毒完全远程控制被感染的计算机系统,从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害,在运行完成后会创建批处理文件“afc9fe2f418b00a0.bat”并在后台调用执行,以此将自身删除。另外,病毒会在被感染计算机中注册名为“MSUpdqtejtp”的系统服务,以此实现自动运行。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“垮屋变种”(Backdoor.Krafcot.gz)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述及危害:
这是一个后门病毒,病毒运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“jtks.exe”。病毒访问网络时,会在被感染计算机的后台调用系统IE浏览器进程“iexplore.exe”,并把恶意代码注入其中隐秘运行,以此隐藏自我,防止被轻易地查杀。该病毒属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的站点“ma*66.3322.org”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染病毒的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等。病毒在运行完成后会将自我删除,从而达到消除痕迹的目的。另外,病毒会在被感染计算机中注册名为“hackfans”的系统服务,以此实现自动运行。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“卡朵变种”(TrojanDropper.Cadro.dx)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述及危害:
这是一个木马释放器,病毒运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\angls46r\”文件夹下释放恶意文件“tmp.exe”、“s.exe”,然后把“tmp.exe”、“s.exe”移动到“%SystemRoot%\temp\”和“%SystemRoot%\system32\”文件夹下并在后台调用运行。“tmp.exe”运行时,会在被感染系统的后台连接骇客指定的站点“8475.770*23.cn”、“60.217.*.138”、“sp.dem*en.com”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。病毒属于某恶意程序集合中的部分功能组件,如感染此病毒,则说明当前计算机系统中还感染了其它的病毒程序。另外,“病毒会在开始菜单“启动”文件夹下添加名为“ktv.lnk”的快捷方式(指向自身副本),以此实现自动运行。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
信息提供:
以上信息由上海市信息化服务热线(热线电话:9682000)提供。