2008年2月第4周计算机病毒预报
来源:中国上海 更新时间:2012-04-13


 
    病毒名称:“盗号下载者”(Win32.Troj.DownloaderT.m)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 在系统盘目录下释放出病毒文件
    2. 注入游戏内存,读取帐号信息并发送
    3. 连接木马种植者指定的远程地址下载病毒
    4. 给用户的系统造成威胁
    感染形式:
    这是一个盗取木马。它会删除系统上的安全漏洞修补文件,并破坏安全辅助软件“360安全卫士”的正常运行,然后盗取系统上的网络游戏《问道》的帐号信息,并下载其它木马程序。该病毒进入用户的系统后,会在系统盘的%WINDOWS%\Temp\目录下释放出病毒文件*dw.dll (*号代表病毒原始文件的文件名)。然后,它迅速展开监视,只要发现用户试图打开杀毒软件“江民”和安全辅助软件“360安全卫士”,就关闭它们的窗口,使得用户无法利用这些安全产品查杀病毒。如果用户电脑中安装有杀毒软件“卡巴斯基”,病毒会修改系统时间为2004年,造成卡巴斯基失效。接着,病毒在系统盘的%windows%\system32\目录下查找是否存在windows系统“KB908531”号安全更新的程序 “VerClsid.exe”文件,则删除,以便于自己能更顺利的进行破坏。等扫清障碍,病毒就调用之前生成的病毒文件,注入系统桌面进程explorer.exe中,展开全局监视,如果发现系统上安装得有网络游戏《问道》,就注入游戏内存,读取帐号信息并发送给木马种植者。除盗窃网游帐号信息外,该病毒还会在后台悄悄连接木马种植者指定的远程地址 http:/ /www.c*t**6*6.com,下载一份病毒列表,然后按照列表中的地址去下载更多其它木马程序,给用户的系统造成更多威胁。
    预防和清除:
   最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称:“劫持式下载器”(Win32.TrojDownloader.Agent.ac)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 在系统盘中释放出病毒文件
    2. 修改系统注册表启动项,实现开机自启动
    3. 搜索并劫持系统中已安装的安全软件
    4. 建立远程连接,下载恶意程序
    5. 运行恶意程序,给用户系统造成无法估计的破坏
    感染形式:
    这是一个下载者木马。病毒运行后会从网上下载其他的病毒文件至用户的机器上并运行。病毒进入系统后,在系统盘中释放出三个病毒文件,分别是%Program Files%目录下的meex.exe、%Program Files%\Common Files\Microsoft Shared\目录下的.exe,以及%Program Files%\Common Files\System\下的.exe。需要注意的是,这两个“.exe”进程名字为空,对用户具有一定的迷惑作用,并且它们互为保护,使用普通方法无法结束其进程。随后,病毒修改系统注册表启动项,将自己的相关信息加入其中,实现开机自启动。同时,为便于以后开展破坏,它会搜索并劫持系统中已安装的安全软件,令它们失效。包括毒霸、瑞星、卡巴斯基、诺顿、QQ医生等在内的常见安全产品都是它的劫持目标。当解决掉安全软件,病毒就在用户无法察觉的情况下建立远程连接,从木马种植者指定的地址www.w*****.com下载名为TDown1.exe和ReadDown.txt的下载列表,然后根据它们里面的地址去下载更多其它恶意程序到用户电脑上运行,给用户系统造成无法估计的破坏。此外,病毒在发作时,会监视用户的文件夹浏览情况,如发现用户试图打开病毒藏匿的文件夹,就会将窗口关闭。如果用户在自己电脑上发现这种情况,那很有可能就是中了此毒。
    预防和清除:
    建立良好的安全习惯,并在适当时候进行全网查杀病毒,保证企业信息安全。建议您删除它建立的ShellExecuteHooks钩子下的病毒的CLSID,然后重起,再删除2xz.dll文件即可。

    病毒名称:“JS脚本病毒”(js.psyme.am)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害:
    1. 利用漏洞下载病毒文件
    2. 利用IE浏览插件漏洞下载病毒、木马到本机
    3. 盗取游戏、QQ账号和密码
    感染形式:
    这是一个脚本病毒。该病毒尝试加载几种漏洞利用脚本,查找漏洞。病毒会利用漏洞下载病毒文件(下载者),该病毒利用漏洞运行自已定义的shellcode,一般都会经过加密的:ALPHA2加密,然后将http://***1.****.net/bak.css下载到本地,并运行它。病毒下载者根据远程病毒下载列表下载其他病毒、木马:http://***1.***.net/bak.css其实是PE文件,是下载者病毒,当其运行后,从远程服务器上读取配置文件,然后根据配置文件下载病毒、木马。。
    预防和清除:
    建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。