病毒名称:“呼啸鬼变种b”(Worm.Huhk.b)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 设置文件的属性,释放恶意程序
2. 监视用户的键盘输入
3. 修改感染计算机系统注册表启动项
4. 后台窃取信息发送到骇客指定的邮箱
感染形式:
这是一个蠕虫病毒,采用高级语言编写,并且经过加壳保护处理。病毒运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”和“%SystemRoot%\system32\”目录下,重新命名为“regsvr.exe”、“regsvr.exe”和“svchost .exe”,同时设置这些文件的属性为“系统、隐藏、只读、存档”。另外,还会在“%SystemRoot%\system32\28463\”目录下释放恶意程序“svchost.exe”以及配置文件。病毒还会将正常系统文件“explorer.exe”移动到“%USERPROFILE%\Local Settings\Temp\”目录下,重新命名为“lorer.exe”。感染正常的“explorer.exe”,并将感染后的文件分别复制到“%SystemRoot%\”和“%SystemRoot%\system32\dllcache\”目录下,以此实现了随机自启,提高了蠕虫自身的隐蔽程度和生存几率。并且会在被感染计算机系统的后台秘密监视用户的键盘输入,记录按键输入以及窗口标题等信息到加密的日志文件中,并在后台将窃取到的信息发送到骇客指定的邮箱“tlpoei*@aol.com”和FTP服务器“ftp://ftp.smt*.ru”上(地址经过加密处理),从而给被感染计算机用户的个人隐私等造成了不同程度的侵害。连接骇客指定的远程服务器站点,下载其它恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成更多不同程度的损失。同时,该病毒还会监视被感染系统中新插入的移动存储设备,一旦发现有新的存储设备接入时,便会在其根目录下创建“autorun.inf”(自动播放配置文件)和蠕虫主程序“regsvr.exe”,以此实现双击盘符后激活蠕虫,从而达到利用U盘、移动硬盘、SD卡等移动存储设备进行传播、感染的目的,致使用户面临更多的威胁。另外,病毒会通过在被感染计算机系统注册表启动项中添加键值“svchost Agent”、“Msn Messsenger”,以及新建计划任务等多种方式实现开机后的自动运行。。
预防和清除:
建议电脑用户采取以下措施预防该病毒:安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“驱动下载者变种A”(RootKit.Win32.Download.a)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 隐藏自身驱动和注册表项
2. 获取系统网络相关信息
3. 注入到explorer.exe进程中
4. 下载大量病毒文件
感染形式:
这是这是一个rootkit下载器,它会通过多种方式隐藏自身,还会下载指定网址的木马病毒到本地运行。该病毒运行后将自身驱动和注册表项进行隐藏,使得杀毒软件无法监测到。病毒创建系统线程,通过读取注册表,获取系统网络相关的所有适配器的DNS、DHCP的ip地址之后,病毒会下载大量病毒文件到电脑中,并将下载的病毒注入到explorer.exe进程中运行。病毒隐藏性好,查杀困难。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒名称:“死牛下载器变种”(win32.troj.crypt.cy)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 修改浏览器主页
2. 强行安装上网插件
3. 下载大量的恶意程序并运行
4. 对局域网进行感染攻击
感染形式:
此病毒为“死牛下载器”的一个新变种。也是一个木马下载器程序。该病毒进入电脑后会下载各种网游木马和诈骗木马,并强行安装上网插件。它经由挂马下载器进入用户电脑,然后就执行自己的下载任务,下载包括冒充QQ消息的诈骗木马和能够强行安装KU2009插件的流氓程序,当然,占主要成分的还是那些五花八门的盗号木马。而为了扩散自己,该毒会在各磁盘分区中生成自己的AUTO文件,一旦发现用户使用U盘等移动设备,就会将它们感染。与此同时,它会下载一个ARP病毒,对局域网进行感染攻击。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
信息提供:
以上信息由上海市信息化服务热线(热线电话:9682000)提供。