【賽迪網-IT技術報道】“木頭鴿子163840”(Win32.Troj.BhoT.ly.163840),這是一個類似灰鴿子的木馬程式。它會在磁片中釋放出文件,然後連接到指定的遠程地址,更新自己,並等待駭客的下一步指令。
“MX下載器259416”( Win32.Troj.DownloadMX.d.259416),這是一個木馬下載器。它會從指定的地址下載病毒列表,再根據其中的地址去下載更多其他木馬。
一、“木頭鴿子163840”(Win32.Troj.BhoT.ly.163840) 威脅級別:★
這個遠程木馬和它的變種近來大量出現。許多毒霸用戶反映,金山毒霸在他們的電腦上頻繁攔截到這些木馬的入侵。毒霸反病毒工程師認為,這是病毒犯罪團夥人為的廣泛傳播此木馬所致。
病毒的原理並不複雜,進入系統後,它在系統盤中釋放出一些病毒文件,比如%WINDOWS%\uninstall\目錄下的rundl132.exe、%WINDOWS%目錄下的Logo1_.exe、C%WINDOWS%\TEMP\目錄下的$$a0199.tmp和$$a0199.bat等。
病毒將以上文件寫入系統註冊表,實現開機自啟動,接著就在後臺悄悄連接病毒作者指定的遠程伺服器,下載更新文件,讓自己升級到最新版本。同時,它會等待病毒作者(駭客)的下一步指令。根據指令的不同,它能在中毒電腦中執行非法控制、盜取機密資訊等各種行為,造成無法估計的損失。
二、“MX下載器259416”( Win32.Troj.DownloadMX.d.259416) 威脅級別:★
MX家族的病毒在網路上出現已有近一年的時間,近來它的變種數量增加較快,不過毒霸均可對其進行查殺,已安裝毒霸的用戶可以不必擔心。
病毒進入系統後,會在%WINDOWS%\SYSTEM32\目錄下生成病毒文件system.bak和yzztkmsn.dll,以及在%WINDOWS%\SYSTEM32\dllcache\目錄下生成病毒文件svchost.exe 。
當修改註冊表啟動項、實現開機自啟動後,它就啟動自己釋放出的svchost.exe,由於此名稱的文件即便在正常的系統中也會有多個,因此用戶很難發現出現多餘的進程。
此毒在此進程中運行,悄悄連接病毒作者指定的地址http://www.w***8.org/,下載一份病毒列表,再根據其中的地址,下載更多的其他病毒到用戶電腦中運行。而這些病毒多為盜號木馬。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障電腦的安全。
2.由於玩網路遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網路使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。
(責任編輯:董建偉)
