3月第5周计算机病毒预报
来源:中国上海 更新时间:2009-03-31

 
 
    病毒名称:“菠萝穴变种”(Packed.PolyCrypt.kl)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 自我复制,注入进程
    2. 在注册表启动项中添加键值实现木马的开机自启
    3. 发送恶意指令
    4. 对中毒电脑执行任意控制操作
    感染形式:
    这是一个木马病毒,该病毒采用“Borland Delphi 6.0 - 7.0”编写,经过多层加壳保护。运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”目录下,重新命名为“twunk_31.exe”,设置文件属性为“系统、只读、隐藏”,然后会将原文件进行删除,以此消除痕迹。病毒实际上是一个经过特殊处理的“黑防专版”灰鸽子远程控制木马。运行后会将恶意代码注入到新创建的“iexporer.exe”进程中隐密运行。在被感染计算机后台不断尝试与控制端(IP地址为:125.42.*.243:8000)进行连接,一旦连接成功,则被感染的计算机系统便会沦为骇客的傀儡主机。骇客通过该木马,可以向被感染的计算机发送恶意指令,从而执行任意控制操作,其中包括:文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等,会给被感染计算机用户的个人隐私甚至是商业机密造成不同程度的侵害。同时,骇客还可以向傀儡主机发送大量的病毒、木马、流氓软件等恶意程序,从而给用户构成了更加严重的威胁。另外,病毒会通过在系统注册表启动项中添加键值“twunk_31.exe”的方式来实现木马的开机自启。
    预防和清除:
    建议电脑用户采取以下措施预防该病毒:安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。

    病毒名称:“蠕虫下载器变种”(Worm.Win32.Auto.rvt)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 释放病毒文件
    2. 创建启动项,实现开机自动启动
    3. 结束大量杀毒软件 
    4. 下载大量病毒
    感染形式:
    这是一个蠕虫病毒,通过网络传播。该病毒运行后把自己拷贝到c:\Program Files目录下命名为lm.pif,然后在系统根目录下释放mp.dll,在c:\WINDOWS\Fonts下释放驱动文件lmmt.sys。然后病毒会创建启动项,实现开机自动启动,并结束大量杀毒软件,以躲避对其的查杀。在每个分区下新建文件AUTORUN.INF,达到双击盘符运行病毒的目的。最后,病毒会在system32目录下释放文件aaaamon.dll,利用该文件去下载大量病毒,使用户电脑中的病毒不断更新。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    病毒名称:“AV杀手变种”(Trojan.KillAV.yi)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 修改指定注册表键值
    2. 关闭某些安全软件的监控
    3. 注入到“explorer.exe”进程中加载运行
    4. 下载大量的恶意程序并运行
    感染形式:
    此病毒为“AV杀手”木马的一个新变种。采用高级语言编写,并且经过加壳保护处理。病毒运行后,会在被感染计算机系统中创建“%SystemRoot%\MyLover\”目录,将自我复制到其中,并重新命名为“MyLoverMain.exe”。释放具有“系统、隐藏”属性的恶意DLL组件“MyLoverDLL.dat”和恶意驱动程序“MyLoverSYS.dat”于该目录下,并且会将系统正常驱动文件“beep.sys”替换为“MyLoverSYS.dat”,同时利用鼠标点击模拟的方式关闭系统弹出的“Windows 文件保护”提示窗口,蒙蔽了被感染计算机的用户。“病毒会修改指定注册表键值,关闭某些安全软件的监控,并利用恶意驱动程序“MyLoverSYS.dat”关闭安全软件的自保护功能,从而十分轻易地便可结束其进程,致使用户的计算机系统失去了安全软件的保护。将恶意代码注入到“explorer.exe”进程中加载运行,以此隐藏自我,防止被发现和查杀。病毒在运行完毕后,会调用批处理文件将自身删除,以此消除痕迹。同时,病毒还会根据骇客指定站点上的配置文件“http://qq.qq**1.com/xin/version.gif”进行自我更新,提高了躲避杀毒软件查杀的能力。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。