【賽迪網-IT技術報道】金山7月17日病毒播報:“駭客遠程工具286720”(Win32.Hack.Agent.fs.286720),這是一個駭客程式。它進入系統後會建立後門,悄悄連接病毒作者指定的遠程伺服器,幫助病毒作者非法控制用戶電腦。
“瘋子下載器106496”(Win32.Troj.DownLoader.wd.106496),這是一個木馬下載器。它具有對抗安全軟體的功能,會破壞一些安全軟體的運行,然後下載其他病毒文件到用戶電腦中運行。
一、“駭客遠程工具286720”(Win32.Hack.Agent.fs.286720) 威脅級別:★
這個駭客程式近來出現較多變種,不過毒霸均可查殺,已安裝毒霸的電腦用戶可以不必擔心。沒有安裝毒霸的用戶,請注意警惕。
它在進入系統後,就將自己的一個病毒文件釋放到%WINDOWS%\TEMP\目錄中,命名為yxa0999.tmp。另一個病毒文件sample.exe會被分別釋放到%WINDOWS%\SYSTEM32\目錄和系統盤根目錄下。Sample.exe是病毒的主文件,它會被寫入註冊表啟動項,幫助病毒實現開機自啟動。
運行起來後,病毒注入IE瀏覽器的進程,在後臺悄悄連接指定的遠程伺服器 fei******888.3322.org ,向駭客發出入侵成功的報告,並等待新的指令。在此毒的幫助下,駭客可實現對用戶系統的完全控制。
二、“瘋子下載器106496”(Win32.Troj.DownLoader.wd.106496) 威脅級別:★★
毒霸反病毒工程師發現,此毒的作者針對國內電腦用戶常用的金山毒霸、瑞星、卡巴斯基等殺毒軟體,給病毒設置了對抗功能。當它進入用戶電腦後,就會搜索上述幾家殺軟的進程,嘗試關閉它們,然後執行下載任務。
至於病毒的下載行為,和其他下載器沒多大差別。它進入系統後,會釋放出多個病毒文件,其中主要文件有%WINDOWS%\system32\目錄下的winscksow.dll,%WINDOWS%\system32\drivers\目錄下的avpnoackdf.exe和rsdbdt.sys。然後將自己的數據寫入註冊表,添加為系統服務,實現開機自啟動。
如果可以運行起來,病毒就會在系統中搜索並嘗試關閉金山毒霸、瑞星、卡巴斯基等殺毒軟體,以及安全輔助軟體360安全衛士的進程。然後連接http://m**p.lovemmll.cn這個由病毒作者指定的地址,下載一份病毒列表,再根據其中的地址去下載更多其他病毒。
病毒的中文名稱來源於它的服務名“Software\\fengzi”,這個服務每隔一段時間就會重復運行一次,以防止用戶手動刪除病毒進程。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障電腦的安全。
2.由於玩網路遊戲、利用QQ等即時聊天工具交流的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網路使用習慣,如不要登錄不良網站、不要進行非法下載等,切斷病毒傳播的途徑,不給病毒以可乘之機。
(責任編輯:董建偉)
