病毒名称:“IRC波变种ktt”(Backdoor.IRCBot.ktt)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述及危害:
这是一个后门病毒,病毒运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“svchost.exe”,文件属性设置为“系统、隐藏、只读”。其会判断当前用户名是否为“sandbox”、“honey”、“vmware”、“currentuser”、“nepenthes”、“andy”,如果是则会结束自身进程。判断是否存在“SbieDll.dll”,如果存在则会结束自身进程。还会查找指定程序(Ether Detect等)的窗口,如果找到则会强行将其结束,以便更好的隐藏自身,防止被查杀。病毒会利用IRC协议与服务器“bott.xztr*szx.info”建立连接,并与服务器进行命令交互,以此实现远程控制的目的。其可根据服务器发送的指令,以FTP和HTTP的方式下载网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给被感染系统用户造成了更多的侵害。其还会对指定IP发动DDos攻击、向MSN联系人发送带毒压缩文件,从而造成了更大的破坏与威胁。病毒还会利用移动存储设备进行传播。当其检测到有新的移动存储设备接入时,便会在其根目录下创建“autorun.inf”,从而利用系统自动播放特性运行指定的恶意程序。病毒在运行完成后会将自身删除,从而达到消除痕迹的目的。另外,“病毒会在被感染系统注册表启动项中添加键值,以此实现自动运行。该后门的传播途径一般为网页木马,如果用户的计算机系统存在相应的漏洞,则会增加感染该病毒的风险,甚至是多次重复感染。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“寄生鬼变种gfx”(Trojan.Patcher.gfx)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述及危害:
这是一个木马病毒,病毒运行后,会提升自身权限为“SeDebugPrivilege”。查询注册表“Shell Folders”下的键值“AppData”和“Common AppData”,以此获得指定目录的相对路径值“%USERPROFILE%\Application Data\”和“%ALLUSERSPROFILE%\Application Data\”。通过注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE”确定IE浏览器的目录,还会通过注册表项确定是否已经安装360安全卫士。病毒会删除360安全卫士的相关文件“LiveUpd360.dll”、“Safelive.dll”、“360P2SP.dll”、“360net.dll”和“LiveUpdate360.exe”,还会读取“%ALLUSERSPROFILE%\Application Data\”文件夹下的恶意配置文件“something.ini”,执行相应的恶意操作。该木马一般会被插入到“explorer.exe”、“winlogon.exe”等系统进程中隐秘运行,还会在被感染系统的后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。另外,病毒会修改搜狗浏览器的配置文件,从而给被感染系统用户造成了更多的侵害。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
病毒名称:“注入器变种aum”(TrojanDownloader.Injecter.aum)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒特征描述及危害:
这是一个木马下载器,病毒运行后,会在系统盘根目录下创建假冒的回收站文件夹,并在其中创建目录“S-1-5-21-0243936033-3052116371-381863308-1811”、释放配置文件“Desktop.ini”,并设置属性为“系统、隐藏、只读”。自我复制到其中,重新命名为“vsbntlo.exe”。在被感染系统的后台连接骇客指定的站点“p34s3.h*elo.com”,读取配置文件,并根据其中的设置对指定IP地址及端口不断发送连接请求,以此实施DDos攻击。还会下载指定的恶意程序并自动调用运行,其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多威胁。病毒访问网络时,会将恶意代码注入到“explorer.exe”进程中隐秘运行。如果被感染的计算机已安装并启用了防火墙,则该木马下载器会利用白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。另外,病毒会在被感染系统注册表启动项中添加键值,以此实现自动运行。
预防和清除:
建议电脑用户安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。
信息提供:
以上信息由上海市信息化服务热线(热线电话:9682000)提供。