扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
4月7日,金山毒霸全球反病毒监测中心发布周(4.7-4.13)病毒预警,被磁碟机、机器狗等木马下载器盖过风头好一阵子后,远程控制木马又蠢蠢欲动起来。近期需警惕一个类似"灰鸽子"的远程控制木马"隐形鸽子192512"(Win32.Troj.Leapar.sb.192512),该病毒在用户电脑中隐蔽运行,远程监视用户屏幕、键盘操作,使用户电脑成为"肉鸡"。比灰鸽子更甚的是,"隐形鸽子"能加载驱动造成杀毒软件瘫痪,这正是"磁碟机"的惯用伎俩。
金山毒霸反病毒专家李铁军表示,"隐形鸽子192512"病毒运行后,搜索系统中是否有杀毒软件的进程,如发现,则释放出自己的驱动文件,造成杀毒软件瘫痪。病毒还会将自己的窗口名注册为"Microsoft Internet Explorer",类名注册为"IEFrame",试图混淆用户的判断,并且采取无进程无模块的作案方式,给普通用户的手工清除带来很大的困难,具有较大的危害性。
李铁军分析指出,病毒进入系统,首先在系统临时目录下释放出一个名为XXXX.dat的配置文件,其中XXXX为随机产生的四位数。接着,病毒搜索系统中是否有杀毒软件进程,如发现,病毒释放自身驱动文件及dll格式文件,突破杀软的防御措施,同时,病毒在注册表中注册为windows服务,实现开机自启动。最后,病毒释放出dll文件,将其注入到svchost.exe中,然后隐藏在用户机器中,实现远程监视,隐蔽运行。
据了解,本周内广大电脑用户除了需要警惕"隐形鸽子192512"之外,还需要特别警惕"雁过留声盗号器118784"(Win32.PSWTroj.OnLineGames.118784)与"视窗杀手248"(Win32.KillWin.jz.248)两大病毒。前者是一个盗号木马程序,通过网页挂马和捆绑文件等方式混进用户电脑修改注册表实现自动启动,然后在IE浏览器的后面创造一个IE服务器,当发现用户通过IE发出帐号和密码时,就被它截取了一次,从而实现盗号。由于普通用户在上网时需要用到的大部分帐号和密码都是通过IE发送,因此病毒也就成为一个"通吃"型盗号木马,使用户虚拟财产受到极大损失;后者是一个极具破坏性的恶作剧病毒程序,它利用感染正常文件进行传播,病毒会删除C盘中的boot.ini、ntldr、bootmgr等重要的系统启动文件,造成用户在下一次使用电脑时,电脑无法正常启动,虽然修复病毒造成的破坏并不复杂,但这已经足以给用户的正常使用带来很大的麻烦,如果是商业电脑中了此毒,可能会令用户蒙受巨额的经济损失。
根据本周病毒传播特点,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年4月13日的病毒库即可查以上病毒;如未安装金山毒霸,可以登录www.duba.net免费下载最新版金山毒霸2008。据悉,刚刚在全球最权威杀毒软件评测Virus Bulletin公布了最新一期的VB100测评结果,金山毒霸2008再次顺利通过,再一次充分证明了金山毒霸的国际品质,广大用户可放心使用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者