06.24病毒预警:“碎骨魔”关闭安全软件、破坏.exe文件

ZDNet 安全频道频道 更新时间:2008-06-25 作者: 来源:SohuIT

本文关键词:exe文件 用户 盗号木马

  “碎骨魔”(Win32.VirInstaller.Agent.80896),这是一个木马程序。它运行后会修改系统时间和关闭安全工具,以及破坏用户磁盘中的大部分exe文件。它还会破坏系统安全模式,阻挠用户对它进行查杀。

  “江湖医生45056”(Win32.TrojDownloader.Zlob.45056),这是一个广告软件。该病毒运行后会在IE浏览器中擅自添加搜索插件,还会挟持IE的页面指向病毒作者指定的广告网站,强迫用户浏览。

  一、“碎骨魔”(Win32.VirInstaller.Agent.80896) 威胁级别:★★

  这个木马程序早在去年就已出现,被毒霸列入黑名单。但近来它的变种又活跃起来,且这些变种具有较强的破坏能力。

  它在进入用户系统后,%WINDOWS%system32下释放出三个随机命名的.cpx格式文件,随后便修改注册表,将释放出的文件添加到启动项中,使自己实现开机自启动。同时,它破坏注册表中关于系统安全模式的数据,让用户即便发现系统异常也无法进入安全模式执行手动杀毒。

  当病毒顺利运行起来,它就篡改被感染计算机上的系统时间,致使一来系统时间进行激活和升级的安全软件失效。并且,它在被感染的计算机上搜索全部与安全相关的软件,一旦发现便强行将其关闭。由于其黑名单中包含了大部分常见的安全相关软件,用户电脑的安全性将大大降低。

  在运行的后期,病毒的破坏行为变得让人气氛,它会搜索并破坏除系统盘目录以外的全部exe文件,且破坏后很难修复,给受害用户带来无法估计的损失。目前毒霸暂时无法完全修复它给文件带来的破坏,因此广大用户需提高警惕。不过,只要升级毒霸到最新版本,就可以抢先查杀该毒,防患于未然。

  二、“江湖医生45056”(Win32.TrojDownloader.Zlob.45056) 威胁级别:★★

  诈骗型的木马又出现了,这次发现的诈骗木马拥有多个变种,会在用户电脑中安装插件,并把用户引导到一个假的在线杀毒网站。

  病毒进入用户电脑后,在原始文件的当前目录下释放出自己的文件sbmdl.dll和sbsm.exe,接着就修改注册表,把文件添加到启动项中,达到开机自动运行之目的。习惯手动查杀的用户需注意,病毒在注册表中的文件名和其真实的名称并不相同,但路径是一致的。

  当运行起来,病毒就把自己携带的一个IE插件擅自添加到用户的IE浏览器上,并篡改IE浏览器的默认页面为http://www.g**ei**ool.com/这个由病毒作者指定的地址。

  经毒霸反病毒工程师检查,这个页面是个涉及诈骗的网站。只要用户被引导登录该网站,就会被跳转到另一个页面。跳转后的页面会对用户系统进行所谓的“在线查毒”。检查的结果千篇一律,都是说用户系统非常危险,必须购买专门的安全服务。

  让用户无可奈何的是,在该网站提供的是否购买服务选项中,只能选“是”,如果用户选“否”,就会不断的弹出询问窗口。这是典型的流氓行为。

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

  2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,切断病毒传播的途径,不给病毒以可乘之机。

  金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2008年6月24的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。

安全频道 exe文件 最新报道

安全频道 用户 最新报道

安全频道 盗号木马 最新报道

[an error occurred while processing this directive]