病毒名称:“脚本下载器BE”(js.downloader.be.1802)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 网页挂马来传播
2. 下载大量的盗号木马
3. 给用户造成损失
感染形式:
这是一个利用微软MS06014漏洞进行攻击的脚本下载器。此记录器的记录范围较广,用户在电脑中打开的任何窗口与输入的所有文本,都会被它记录下来。它借助网页挂马来传播,只要来访电脑存在MS06014漏洞,它就能自动攻入系统,执行下载命令。该病毒入侵方式为网马下载,触发漏洞下载。该病毒利用的是微软的MS06014漏洞,病毒团伙仅需将其嵌入到网页上,它就可以对那些存在该漏洞的来访电脑进行自动攻击,把大量的盗号木马引入这些电脑,给用户造成无法估计的损失。
预防和清除:
建议电脑用户采取以下措施预防该病毒:安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“沃忒客变种j”(Win32.Otwycal.j)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 感染系统文件
2. 结束指定的安全软件
3. 连接骇客指定的站点
4. 下载恶意程序自动调用运行
感染形式:
该病毒采用“Microsoft Visual C++”编写,并且经过加壳保护处理。这是一个文件感染型病毒,运行后会感染系统中扩展名为“.exe”、“.com”、“.scr”等可执行格式的文件(但不会感染“%SystemRoot%\”及“C:\Program Files”目录下的文件以及“QQ.exe”及“QQDoctor.exe”),由此可能会造成被感染的程序无法正常的运行,严重地干扰了被感染计算机用户对系统的正常使用。同时,还会感染“.htm”、“.asp”和“.xml”等类型的文件。在被感染计算机的后台遍历当前系统中正在运行的所有进程,一旦发现指定的安全软件存在,便会尝试通过强行篡改系统日期、调用批处理指令等方式试图结束和干扰这些安全软件的正常运行,从而达到了自我保护的目的,提高了病毒自身的生存几率。病毒会优先感染“%SystemRoot%\system32\”目录下的系统文件“spoolsv.exe”,并将正常文件备份到“%SystemRoot%\Tasks\”目录下重新命名为“SysFile.brk”,以此达到了自身随系统服务“Print Spooler”(打印服务)的启动而自动运行的目的。病毒还会删除扩展名为“.gho”的磁盘镜像备份文件,以此防止被感染计算机用户通过恢复系统的方式摆脱病毒的困扰,增加了病毒的顽固程度。病毒会在被感染计算机后台连接骇客指定的远程服务器站点“http://444.er1*.com/”,读取配置文件“config.txt”,根据配置文件中的信息下载其它恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临不同程度的风险。“沃忒客”变种j还会在被感染系统中所有磁盘的根目录下创建“autorun.inf”(自动播放配置文件)和病毒主程序文件“MSDOS.bat”(文件属性为“系统、隐藏”),以此实现双击盘符后激活病毒,从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,给被感染计算机用户造成了更多的威胁。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒名称:“蠕虫下载器变种RVT”(Worm.Win32.Auto.rvt)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 释放病毒文件
2. 创建启动项,实现开机自动启动
3. 结束大量杀毒软件
4. 下载大量病毒
感染形式:
该病毒通过网络传播,病毒会关闭十余种安全类软件,下载大量木马病毒,清除困难。病毒运行后在系统多个目录中释放病毒文件,然后病毒会创建启动项,实现开机自动启动,并结束大量杀毒软件,以躲避对其的查杀。在每个分区下新建文件AUTORUN.INF,达到双击盘符运行病毒的目的。最后,病毒会在system32目录下释放文件aaaamon.dll,利用该文件去下载大量病毒,使用户电脑中的病毒不断更新。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
信息提供:
以上信息由上海市信息化服务热线(热线电话:9682000)提供。