>> 最新文章
>> 阅读排行
当前位置:5月8日病毒木马预警
金山毒霸每日病毒预警
“病毒组合模块8192”(Win32.Patched.j.8192),这是某感染型病毒的一个组成部分。它会感染系统的DLL格式文件,当用户运行需要调用该DLL文件的程序时
,病毒就会被激活,配合完整的病毒文件执行破坏行为。
“后门小广告327680”(Win32.Troj.Agent.re.327680),这是一个黑客远程木马。它会伪装成Flash播放器的图标,如果运行起来,就会弹出广告窗口,并创建后门,给黑客入用户电脑侵提供机会。
一、“病毒组合模块8192”(Win32.Patched.j.8192) 威胁级别:★
很多病毒都包含有不止一个的病毒文件,当所有文件都凑齐的时候,病毒的破坏能力就会达到最大。此篇预警播报中介绍就是某病毒的一个模块。
这个模块随着完整的病毒文件进入系统后,会搜索并感染系统中的DLL格式文件,只要用户运行了需要调用该DLL文件的程序时,该模块便会被激活,在%WINDOWS%\目录下搜索一个名为ObjHelpr32.txt的文本文件。
经毒霸反病毒工程师分析,这个ObjHelpr32.txt文件是一份病毒下载列表。如果这个模块顺利找到该文件,它就会启动病毒的另一个模块,根据列表中的地址执行下载任务,将更多其它病毒引到用户电脑中运行,引发更多的麻烦。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-patched-j-8192-50585.html
二、“后门小广告327680”(Win32.Troj.Agent.re.327680) 威胁级别:★
病毒进入电脑后,将自身文件Boercservice.exe和Boercservice.dll拷贝到%WINDOWS%下,同时,释放多个文件到系统的临时目录,也就是%Temp%目录下,如krnln.fne、krnln.fnr等等。值得注意的是,Boercservice.exe这个文件会伪装成Flash播放器的图标,迷惑用户。
病毒的作案过程与其它大部分的黑客程序相近,它会将主文件Boercservice.exe写入启动项,实现开机自启动,然后把DLL文件注入系统桌面进程IEXPLORE.exe中,搜索IE浏览器的窗口,控制它弹出病毒作者指定的广告网页,给广告网页“贡献”出流量。
但仅仅是弹射广告的话,还不足以威胁用户的系统安全。该病毒真正可恶之处是它会悄悄建立后门,等待病毒作者(黑客)的连接。如果黑客进入用户系统,就可以进行任何他想要的操作。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-re-327680-50586.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年5月7的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
江民5月8日病毒播报:紫萝卜木马经过加壳处理 感染计算机恶意程序
江民今日提醒您注意:在今天的病毒中Worm/AutoRun.ahh“U盘寄生虫”变种ahh和TrojanDownloader.Zlob.izo“紫萝卜”变种izo值得关注。
病毒名称:Worm/AutoRun.ahh
中 文 名:“U盘寄生虫”变种ahh
病毒长度:15072字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.ahh“U盘寄生虫”变种ahh是“U盘寄生虫”蠕虫家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“U盘寄生虫”变种ahh运行后,在被感染计算机系统的根目录下释放一个恶意驱动文件“zzz.sys”。感染系统文件“spoolsv.exe”,向其写入可执行代码,实现“U盘寄生虫”变种ahh开机自启。删除被感染计算机系统中的“QQDoctorMain.exe”和“QQDoctor.exe”(QQ医生程序文件),达到自我保护的目的。关闭某些安全软件,防止被查杀。在被感染计算机系统的后台调用IE浏览器进程,利用系统IE进程连接骇客指定远程服务器站点“http://www.*zfw*.c*/Config.txt”,获取其它恶意程序的下载地址列表,然后下载列表中的所有恶意程序,并自动调用安装运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。在所有盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件,达到双击盘符启动“沃忒客”变种d运行的目的,具有利用U盘、移动硬盘等存储设备进行自我传播的功能。另外,“U盘寄生虫”变种ahh可能会在后台感染用户计算机系统中的可执行文件和网页文件等。
病毒名称:TrojanDownloader.Zlob.izo
中 文 名:“紫萝卜”变种izo
病毒长度:110080字节
病毒类型:木马下载器
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Zlob.izo“紫萝卜”变种izo是“紫萝卜”木马下载器家族的最新成员之一,采用VC++ V7.0-8.0编写,并经过加壳处理。“紫萝卜”变种izo运行后,在被感染计算机后台连接骇客指定站点“http://bo*.gr*b*k*.com/exe.php?ex=6*82”,下载恶意程序并在被感染计算机上自动调用运行,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。强行篡改IE浏览器设置,降低被感染计算机的安全性。另外,“紫萝卜”变种izo很可能与骇客指定的服务器建立网络连接,侦听骇客指令,进一步威胁用户计算机信息安全。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件的虚拟机脱壳技术,针对目前主流壳病毒进行虚拟脱壳处理,有效清除“壳病毒”。
4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,完全保护计算机系统安全。
5、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定
6、使用U盘进行数据文件存储和拷贝时,打开计算机系统中杀毒软件的“实时监控”功能,避免病毒文件入侵感染。
7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能,更可对未知病毒进行主动监控,对病毒层层拦截,即使有个别新病毒和恶性病毒入侵了系统,也无法逃脱江民杀毒软件主动防御系统的层层截杀,更好地保护用户上网安全。
8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/chadu.asp.
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。
“病毒组合模块8192”(Win32.Patched.j.8192),这是某感染型病毒的一个组成部分。它会感染系统的DLL格式文件,当用户运行需要调用该DLL文件的程序时
,病毒就会被激活,配合完整的病毒文件执行破坏行为。
“后门小广告327680”(Win32.Troj.Agent.re.327680),这是一个黑客远程木马。它会伪装成Flash播放器的图标,如果运行起来,就会弹出广告窗口,并创建后门,给黑客入用户电脑侵提供机会。
一、“病毒组合模块8192”(Win32.Patched.j.8192) 威胁级别:★
很多病毒都包含有不止一个的病毒文件,当所有文件都凑齐的时候,病毒的破坏能力就会达到最大。此篇预警播报中介绍就是某病毒的一个模块。
这个模块随着完整的病毒文件进入系统后,会搜索并感染系统中的DLL格式文件,只要用户运行了需要调用该DLL文件的程序时,该模块便会被激活,在%WINDOWS%\目录下搜索一个名为ObjHelpr32.txt的文本文件。
经毒霸反病毒工程师分析,这个ObjHelpr32.txt文件是一份病毒下载列表。如果这个模块顺利找到该文件,它就会启动病毒的另一个模块,根据列表中的地址执行下载任务,将更多其它病毒引到用户电脑中运行,引发更多的麻烦。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-patched-j-8192-50585.html
二、“后门小广告327680”(Win32.Troj.Agent.re.327680) 威胁级别:★
病毒进入电脑后,将自身文件Boercservice.exe和Boercservice.dll拷贝到%WINDOWS%下,同时,释放多个文件到系统的临时目录,也就是%Temp%目录下,如krnln.fne、krnln.fnr等等。值得注意的是,Boercservice.exe这个文件会伪装成Flash播放器的图标,迷惑用户。
病毒的作案过程与其它大部分的黑客程序相近,它会将主文件Boercservice.exe写入启动项,实现开机自启动,然后把DLL文件注入系统桌面进程IEXPLORE.exe中,搜索IE浏览器的窗口,控制它弹出病毒作者指定的广告网页,给广告网页“贡献”出流量。
但仅仅是弹射广告的话,还不足以威胁用户的系统安全。该病毒真正可恶之处是它会悄悄建立后门,等待病毒作者(黑客)的连接。如果黑客进入用户系统,就可以进行任何他想要的操作。
关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-re-327680-50586.html
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年5月7的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
江民5月8日病毒播报:紫萝卜木马经过加壳处理 感染计算机恶意程序
江民今日提醒您注意:在今天的病毒中Worm/AutoRun.ahh“U盘寄生虫”变种ahh和TrojanDownloader.Zlob.izo“紫萝卜”变种izo值得关注。
病毒名称:Worm/AutoRun.ahh
中 文 名:“U盘寄生虫”变种ahh
病毒长度:15072字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.ahh“U盘寄生虫”变种ahh是“U盘寄生虫”蠕虫家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“U盘寄生虫”变种ahh运行后,在被感染计算机系统的根目录下释放一个恶意驱动文件“zzz.sys”。感染系统文件“spoolsv.exe”,向其写入可执行代码,实现“U盘寄生虫”变种ahh开机自启。删除被感染计算机系统中的“QQDoctorMain.exe”和“QQDoctor.exe”(QQ医生程序文件),达到自我保护的目的。关闭某些安全软件,防止被查杀。在被感染计算机系统的后台调用IE浏览器进程,利用系统IE进程连接骇客指定远程服务器站点“http://www.*zfw*.c*/Config.txt”,获取其它恶意程序的下载地址列表,然后下载列表中的所有恶意程序,并自动调用安装运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。在所有盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件,达到双击盘符启动“沃忒客”变种d运行的目的,具有利用U盘、移动硬盘等存储设备进行自我传播的功能。另外,“U盘寄生虫”变种ahh可能会在后台感染用户计算机系统中的可执行文件和网页文件等。
病毒名称:TrojanDownloader.Zlob.izo
中 文 名:“紫萝卜”变种izo
病毒长度:110080字节
病毒类型:木马下载器
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Zlob.izo“紫萝卜”变种izo是“紫萝卜”木马下载器家族的最新成员之一,采用VC++ V7.0-8.0编写,并经过加壳处理。“紫萝卜”变种izo运行后,在被感染计算机后台连接骇客指定站点“http://bo*.gr*b*k*.com/exe.php?ex=6*82”,下载恶意程序并在被感染计算机上自动调用运行,所下载的恶意程序可能是网游木马、广告程序(流氓软件)、后门等,给被感染计算机用户带来不同程度的损失。强行篡改IE浏览器设置,降低被感染计算机的安全性。另外,“紫萝卜”变种izo很可能与骇客指定的服务器建立网络连接,侦听骇客指令,进一步威胁用户计算机信息安全。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件的虚拟机脱壳技术,针对目前主流壳病毒进行虚拟脱壳处理,有效清除“壳病毒”。
4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,完全保护计算机系统安全。
5、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定
6、使用U盘进行数据文件存储和拷贝时,打开计算机系统中杀毒软件的“实时监控”功能,避免病毒文件入侵感染。
7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能,更可对未知病毒进行主动监控,对病毒层层拦截,即使有个别新病毒和恶性病毒入侵了系统,也无法逃脱江民杀毒软件主动防御系统的层层截杀,更好地保护用户上网安全。
8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/chadu.asp.
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。
