扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“杀手传声筒”(Win32.Troj.Agent.401408),这是一个远程控制类木马。它能破坏杀毒软件的正常运行,并在本地创建客户端,向远程服务端传送本地计算机的情况,为黑客入侵用户电脑系统提供机会。
“U盘百家姓”(Win32.Hack.Popwin.ai.18474) 威胁级别:★★
病毒运行后,在%Windows%\system32\目录下释放出一个。EXE格式文件和一个。DLL格式文件。需要注意的是,这两个病毒文件的文件名是病毒根据已内定的某些字符,与用户电脑上的系统盘卷序列号进行计算而随机生成的八位数,因此并不固定。然后,它修改注册表,创建注册启动项,达到随系统自动启动之目的,其中的服务名也是随机生成。病毒还会在每个磁盘分区的根目录下生成病毒文件 auto.exe 和辅助文件 autorun.inf,当用户双击打开磁盘,病毒文件就会再次运行。此后,如果用户在中毒电脑上使用U盘等移动存储器,病毒就会将其传染。
与此同时,病毒迅速搜索计算机进程,如发现杀毒软件卡巴斯基的进程文件avp.exe,则修改系统时间为2005年 .由于卡巴斯基的激活文件需依赖系统时间,此举将导致卡巴斯基失效。病毒还会尝试对金山毒霸下手,它会搜索毒霸的运行窗口,并试图将其关闭。
当解决掉杀毒软件,病毒就会悄悄连接木马作者指定的网址,通过读取升级文件 update.txt,获取其它病毒及恶意软件的最新下载地址,并把它们下载到用户计算机上运行,给用户造成更大的损失。
“杀手传声筒”(Win32.Troj.Agent.401408) 威胁级别:★★
病毒运行后,在%Windows%\system32\目录下释放出三个病毒文件,分别为aedl.exe、aedl.dat 以及aedl .jpg(jpg文件的文件名末尾带个空格),需提及的是,由于此病毒的文件名是参考源文件名,因此并不局限于以上名称。
随后,病毒修改注册表,将自己的相关信息加入其中,以便随系统启动。同时,还修改系统中的数据,隐藏自己的进程服务。这样,用户在查看服务控制台时,就不会发现它。接着,病毒迅速修改系统时间,破坏依赖系统时间的安全软件的正常运行。并查找弹出的卡巴斯基和微点的提示窗口,向窗口发送鼠标点击消息,允许病毒的操作。完成以上步骤后,病毒就注入其它程序,在它们的程序空间内运行。
运行过程中,病毒会监视本地计算机的键盘和鼠标动作,并创建远程联接,向木马作者(黑客)指定的远程服务端发送这些信息,被同时发送的信息还包括受害计算机的机名、系统版本、用户名等。而且,黑客可以利用远程服务端向受害电脑发送远程指令,进行任何想要的操作,给用户造成无法估计的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等),遇到问题要上报, 这样才能真正保障计算机的安全。
2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。