中国电子政务网--公共安全--计算机病毒--2008年2月第1周计算机病毒预报

2008年2月第1周计算机病毒预报

来源:中国上海更新时间:2012-04-13

2008年2月4日至2月10日计算机病毒预报
    病毒名称：“小跟班下载器20480”（Win32.Troj.DownloaderT.g.20480）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害：
    1. 在系统目录下释放出病毒文件
    2. 注入IE浏览器的进程
    3. 搜索系统中的文件
    4. 下载木马程序
    感染形式：
    这是一个木马下载者。它实质上是由其它木马释放出的动态链接库，运行后会注入到IE浏览器的进程，从网上批量下载木马程序到本地系统目录。此病毒出现在电脑中后，会在%systemroot%\system32\目录中释放出病毒文件HDDGuard.dll，然后注入IE浏览器的进程，利用它的空间运行自己，使用户难以发现多出了异常的进程。病毒运行后，会搜索系统中的一些文件，如ieprot.dll、safemon.dll、antispy.dll、KvTrust.dll、UrlGuard.dll等，并将它们更名为为tmp*.temp(*为数字)，然后从http://xtx.kv8.info/images这个地址下载一份木马程序下载列表，根据其内容下载木马。如果在下载过程中遇到有地址失效，它就会连接备用地址http://4*4.sqm**opt.com/xm/，更新下载列表，再次下载木马程序。
    需提及的是，这个木马下载者通常是由其它木马释放出来，如果它出现在你的电脑中，那么很可能你的电脑里已经潜入了其它木马程序。
    预防和清除：
　最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，减少病毒给计算机用户带来的危害。

    病毒名称：“完美世界盗号者100064”（Win32.PSWTroj.OnlineGames.aq.100064）
    危害程度：中低
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害：
    1．修改注册表中的数据实现开机自启动
    2．加载到系统进程中
    3．读取游戏进程的特定内存
    4．给用户带来虚拟财产的损失
    感染形式：
    病毒进入电脑系统后，会躲藏在WINDOWS目录的临时文件夹中，用户如果在临时文件夹中发现名称为“2xz.dll”的文件，就是它了。病毒会迅速运行，修改注册表中的数据，添加一个执行项目，实现开机自启动。病毒将自己加载到系统中的每一个进程中，并判断当前进程是否是网络游戏《完美世界》的进程，如果是的话，就注入立即其中读取游戏进程的特定内存，获取游戏帐号密码等信息。如果得手，病毒就在用户无法察觉的情况下建立远程连接，把帐号信息发送到木马种植者指定的地址，给用户带来虚拟财产的损失。
    预防和清除：
    建立良好的安全习惯，并在适当时候进行全网查杀病毒，保证企业信息安全。建议您删除它建立的ShellExecuteHooks钩子下的病毒的CLSID，然后重起，再删除2xz.dll文件即可。

    病毒名称：“黑客木马下载器1367552”（Win32.Troj.DownLoader.se.1367552）
    危害程度：中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害：
    1. 读取资源，释放病毒文件
    2. 添加到系统注册表中
    3. 载一份记录有病毒列表的文本文件
    4. 黑客就可以完全控制用户的电脑
    感染形式：
    这是一个下载者木马，运行后会从指定网址下载一个病毒列表的文本，然后对照该文本中的网址下载木马并运行。被下载的木马是一个远程控制软件，如果该软件被安装并运行，黑客可以完全控制用户的电脑。该木马运行后，读取资源，释放病毒文件1sass.exe到%WINDOWSt%\system\目录，并立即启动该文件。然后创建一个批处理文件删除自己的原始文件，让用户以后即便发现电脑异常也找不到毒源。随后，病毒将1sass.exe以系统服务的名义添加到系统注册表中，骗过用户的注意，同时让自己实现开机自动运行之目的。如果病毒服务得以启动，它会连接黑客网站Http://nb.******.com/list.txt下载一份记录有病毒列表的文本文件，根据该列表中的网址下载其它的木马到用户电脑上运行。经过毒霸反病毒专家的分析，发现被下载的木马是一个远程控制软件，如果该木马被顺利安装，黑客就可以完全控制用户的电脑，进行任何他想要的操作。
    预防和清除：
    建议电脑用户不要随便运行来历不明的文件，以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。