【賽迪網-IT技術報道】“灰鴿子變種1077248”(Win32.Hack.Huigezi.1077248),這是一個遠程木馬程式。該病毒運行後創建註冊表系統驅動服務,實現自啟動,幫助駭客非法控制用戶電腦。
“PE感染控制器1436”(PE.parite.d.1436),這是一個由高級語言編寫的感染型病毒。它利用感染正常的exe文件來實現傳播,如成功運行,則會釋放出另一個木馬文件。
一、“灰鴿子變種1077248”(Win32.Hack.Huigezi.1077248) 威脅級別:★
此毒是灰鴿子木馬家族的一個變種成員。它進入系統後,在%WINDOWS%目錄下生成隱藏屬性的病毒文件Hacker.com.cn.exe 。該文件一旦被釋放出來,就會立即搜尋並修改系統註冊表的啟動項,創建註冊表系統驅動服務或註冊表RUN項,實現自啟動。
當用戶再次啟動電腦後,病毒就開始運行,它在後臺悄悄連接病毒作者指定的遠程伺服器,向種植木馬的人(駭客)報告自己所處電腦的地址和系統資訊,並等待駭客發送指令。
由於病毒會取得系統的最高許可權,駭客將可以利用它來對電腦進行任何想要的控制,包括文件的讀寫複製、服務的創建與刪除、網路連接與中斷等。從而造成用戶電腦中的數據被盜,或者電腦淪為肉雞。
二、“PE感染控制器1436”(PE.parite.d.1436) 威脅級別:★
這個病毒只要進入未被它入侵過的電腦中,就會搜索所有的exe文件,對它們進行感染。它在被感染文件最後節後添加新節,修改被感染文件入口點至新節開始。這樣,當用戶運行正常文件時,它就能搶先運行起來。
病毒首先會解密病毒代碼,它對自己的部分代碼使用了變形技術,這部分代碼在每次感染時會變換代碼形式,看得出,它試圖躲避殺軟查殺。
該毒運行起來後,會釋放出另一個病毒Win32.Parite.c.471040。這個病毒是個遠程木馬程式,它會注入系統桌面進程explorer.exe執行自己的病毒代碼,達到隱蔽運行的效果。如果Win32.Parite.c.471040成功運行,就可能造成用戶電腦被駭客控制。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障電腦的安全。
2.由於玩網路遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網路使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。
(責任編輯:董建偉)
