2008年1月第4周计算机病毒预报
来源:中国上海 更新时间:2012-04-13

2008年1月21日至1月27日计算机病毒预报 
 
    病毒名称:“打卡签到下载者”(Win32.Troj.Autorun.mq)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 修改注册表启动项,实现自启动
    2. 禁止用户使用“任务管理器”、“文件夹选项”、“注册表工具”
    3. 重启自动生成新病毒文件
    4. 中毒后系统无法进入安全模式、组策略功能也被禁用
    感染形式:
    病毒进入用户系统后,会将4个病毒文件释放到电脑系统盘中,分别为%WINDOWS%目录下的hinhem.scr、scvhosts.exe,%WINDOWS%%\Tasks\目录下的At1.job、At2.job,以及%WINDOWS%system32\目录下的autorun.ini、blastclnnn.exe、scvhosts.exe。随后,它就修改系统注册表中的相关数据,使自己可以在用户每次开机后自动运行。为迷惑用户,病毒将自己伪装成WINDOWS系统自带的添加网络日志任务,并将之前生成的blastclnnn.exe病毒文件的发作时间定在每天上午9点,时间一到,病毒就会准时“上班”。如果用户查看该进程属性,便可看到其相关属性。同时,病毒会修改注册表,禁止用户使用“任务管理器”、“文件夹选项”、“注册表工具”,以防止用户查杀它。在电脑重启后,病毒给之前生成的scvhosts.exe病毒文件建立进程。由于它与和系统svchost.exe进程的名称相似,如果用户不仔细检查,就不容易发现它。然后,病毒搜索局域网内的其它电脑,将起名为“New Folder.exe”的病毒文件发送到它们的共享文件夹中。病毒还会检测用户电脑上是否安装有“雅虎通”聊天工具,如有,就利用它向用户好友发送大量包含病毒网页链结的消息。除此而外,病毒还会悄悄建立远程连接,从hxxp://s*tt*ng.doc.fish.cn、hxxp://www.0f**h.cn/等病毒作者指定的地址下载其它病毒,给用户的系统安全和个人隐私造成更多威胁。
    预防和清除:
   最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,减少病毒给计算机用户带来的危害。

    病毒名称:“R2盗号木马”(Win32.Troj.AgentT.fm)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 修改注册表启动项,实现自启动
    2. 释放一个文件注入explorer.exe中
    3. 设置全局钩子,读取游戏内存的方式获取用户的帐号信息
    4. 回传到木马投放者指定的网址
    感染形式:
    病毒进入电脑系统后,在系统盘的%WINDOWS%\Fonts\目录下释放出病毒文件enwebfx.fon、kawdjaz.exe、kawdjcs.dll、kawdjzy.dll,然后修改注册表,将自己的相关数据写入启动项,使自己能在用户以后每次启动电脑时跟着运行起来。如果顺利运行起来,病毒就会注入到系统桌面进程Explorer.exe中,创建独立的线程对当前正在运行的系统进程进行监视,入发现网络游戏《R2》(革命领域)的进程R2Client.exe,就通过读取内存数据的方式盗取用户的帐号密码等信息。得手后,病毒在用户无法知晓的情况下建立远程连接,将数据发送到http://www.r*x*.cn/1*v/post.asp这个由木马种植者指定的地址,给用户造成虚拟财产的损失。
    预防和清除:
    建立良好的安全习惯,并在适当时候进行全网查杀病毒,保证企业信息安全。建议您全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。

    病毒名称:“伪装下载者”(Win32.Riskware.wmicsmgr.b)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害:
    1. 在系统目录中释放出病毒文件
    2. 修改注册表启动项,实现自启动
    3. 添加的启动项名称是wmicsmgr,注册为“浏览器帮助插件
    4. 连接网络下载新的病毒
    感染形式:
病毒进入系统后,在系统盘的%WINDOWS%\system32\目录下释放出病毒文件wmicsmgr.dll。需要注意的是,此病毒文件的文件名与WINDOWS系统自带的一个DLL文件名很相似,但正常的文件名为wmiscmgr.dll,而不是wmicsmgr.dll。随后,病毒修改注册表,把自己的相关数据写入启动项中。它添加的启动项名称是wmicsmgr,注册为“浏览器帮助插件”,试图以此欺骗用户。当资源管理器或IE浏览器启动时,病毒就会随之加载运行起来。当病毒被加载后,它就会在后台利用IE浏览器的进程空间来运行自己。这样做的好处是用户不容易发现系统中出现多余的进程。如果成功运行起来,病毒就会连接到木马种植者指定的地址http://www.o*3*6.com/,获取最新的病毒下载地址,然后根据这些地址去下载更多的病毒程序到用户电脑中运行,给用户造成无法估计的更大损失。
    预防和清除:
    建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。