病毒周报(080414至080420)

动物家园计算机安全咨询中心( [url]www.kingzoo.com[/url] )反病毒斗士报牵手广州市计算机信息网络安全协会( [url]www.cinsa.cn[/url] )发布:

本周重点关注病毒:


  
“武装下载器69632”(Win32.Troj.DownLoaderT.dl.69632)  威胁级别:★★

       这个病毒进入系统后,会立即篡改注册表,关闭系统自带的错误报告服务(ERSvc),这样一来,无论它接下去如何做小动作,系统都无法向用户报告异常。当然,仅仅关闭系统自身服务是不够的,病毒还得对付杀毒软件。因此,该毒接下来就会修改系统时间为2005年,让所有依赖系统时间进行激活和升级的杀毒软件失效。
    在解除电脑武装的同时,病毒修改注册表,将自己设置为启动项,实现开机自动运行。如果注意检查注册表,可发现病毒启动项的服务名称、显示名称、描述都为dd33gsd2。习惯手动查杀的用户,可以根据这一线索清除病毒。
    最后,病毒连接病毒作者指定的远程地址 [url]http://al[/url]**a.ve**nx.cn/,下载木马地址列表,再根据其中的信息下载大量其它病毒到用户电脑中运行,引发更多的破坏。
    此外,为扩大传播范围,病毒会在系统盘根目录下生成AUTO病毒文件auto.exe和autorun.inf,只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会传染上去。

“键盘记录员108627”(Win32.PSWTroj.OnLineGames.xn.108627)  威胁级别:★★
   
    木马在系统中释放完文件后,首先会修改SSDT(系统服务调度表),从而解除各种具有主动防御功能的杀毒软件的武装。然后,它修改注册表中的相关数据,把病毒文件属性设置为“系统”、“隐藏”和“只读”,并将显示模式锁定为隐藏,让用户无法发现病毒文件。
    接下来,病毒启动监视程序,监视用户的鼠标、键盘操作,从而记录下用户操作电脑时输入的各种信息。并每隔一段时间,就将这些偷到的信息加密,以邮件的形式通过SMTP通信协议和网页收信空间发送给木马作者。所谓的SMTP,是一种可以免除验证的通讯方式,能为WINDOWS系统用户之间的通讯提供便利,但也因此而被一些病毒作者所利用。
    由于是采取完整的键盘记录,用户在中毒电脑上输入的所有信息都会被病毒作者所掌握。他只需经过简单的分析和筛选,便可从中找到用户输入的各种帐号和密码,甚至可以掌握用户的个人隐私。
    习惯手动查杀的用户,请留意病毒释放出的以下文件,分别为%WINDOWS%\system32\目录下的mmvo.exe和mmvo0.dll,以及系统临时目录%Temp%中的一个随机命名的.dll格式文件。一定要将它们清除,系统才可恢复正常。

“艾妮病毒147456”(Win32.LwyMum.h.147456)  威胁级别:★★

    病毒在进入系统后,在系统盘的%windows%\system\目录下释放出病毒文件logogogo.exe,然后修改注册表项,将该文件设为开机自启动,让自己能够自动运行起来。同时,它也“顺便”篡改了关于安全软件启动的数据,将电脑上安装的安全软件劫持,变成它的傀儡。如果用户试图运行安全软件,其结果只能是不断激活病毒而已。在这个过程中,几乎所有知名的安全软件都会牺牲。而为防止用户手动查杀,病毒会把logogogo.exe设置为隐藏模式,同时伪装成系统文件的属性,以欺骗用户。
    当在系统中站稳脚跟,病毒便在用户无法知晓的情况下连接病毒作者指定的地址 [url]http://x.98[/url]****.com,下载一个名为SYSTEM128.tmp的文件,这个文件其实是伪装过的下载列表,病毒会读取其中的地址,去下载更多其它病毒到电脑中运行。
    此外,为扩大传染范围,艾妮搜索中毒电脑上全部的EXE格式文件进行感染。同时在所有的磁盘目录下生成AUTO病毒文件autorun.inf和xp.exe(伪装过的logogogo.exe),一旦发现有移动存储设备连接到中毒电脑上,便立即迁徙过去,实现感染。

动物家园计算机安全咨询中心反病毒工程师建议:

   1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

   3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。

   4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。

   5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询

你可能感兴趣的:(职场,休闲,病毒周报)