木马Trojan.Grups利用网上论坛发动攻击

　　病毒名称：Trojan.Grups

　　病毒类型：木马

　　受影响的操作系统：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

　　病毒分析：

　　最近，一些木马利用社交网站论坛传送控制命令并接收执行后的反馈信息。由于这些包含控制命令的消息与海量的合法消息混在一起，识别与拦截这些包含控制命令的消息会比较困难。Trojan.Grups就是这样一种木马程序，它利用Google网上论坛来传送控制命令，然后在被感染的计算机中开启后门，并将该木马在被感染计算机上执行后的反馈信息再发送到Google网上论坛。攻击者通过这样的方式来控制该木马的执行并且读取执行后的反馈信息。

　　Trojan.Grups通常以.dll的形式来到用户机器，当被rundll32.exe运行时将首先链接到Google网上论坛的登录页面，用自带的用户名和密码登录。登录成功后，将连接到一个私人论坛，在该论坛请求一个页面，这一页面中包含控制木马执行的命令。当收到此页面后，木马就会执行网页中加密的命令。执行后的反馈信息将通过HTTP POST发送到指定域名。

　　诺顿安全专家建议：

　　1. 诺顿防病毒软件的创新“脉动更新”功能会每隔 5 到 15 分钟自动下载最新病毒定义库和产品更新至用户计算机中，从而有效保护计算机免受变化多端的病毒攻击。

　　2. 配置诺顿安全软件的“智能双向防火墙”功能，阻止不明应用程序访问网络，令被窃取的用户信息无法传输。

　　3. 没有安装安全软件的用户可以访问 http://www.symantec.com.cn/trialware 下载诺顿360、诺顿网络安全特警2009或诺顿防病毒2009试用版对病毒进行查杀。

　　4. 使用诺顿2006版本及之后产品的现有用户，可以免费将产品升级至诺顿2009版本，升级网址http://www.symantec.com.cn/nuc。