2008年3月10日至3月16日计算机病毒预报
病毒名称:“AUTO地鼠器”(Win32.Troj.AutoRunT.up)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 在系统盘中释放出海量的病毒文件
2. 病毒立即修改系统时间为2018年
3. 修改注册表,添加病毒启动项
4. 系统资源会被病毒严重占用,直至瘫痪
感染形式:
这是一个AUTO病毒。该病毒会下载许多其它的病毒文件,并且利用修改系统时间和篡改数据等方法,破坏一些著名杀软的正常运行。藏有AUTO病毒的磁盘分区会无法打开,系统也会被病毒严重占用资源,甚至瘫痪。该病毒还会下载众多盗号木马,其中包括名声恶劣的“机器狗”。此外,该病毒聪明地隐藏自己的路径,使得用户不容易找到它,并且即便找到也不易删除。该病毒纂改注册表,添加了8个病毒启动项,分别是1a、smss、upxdnd、WSockDrv32、cmdbcs、DbgHlp32、AVPSrv、LotusHlp,然后开始疯狂的下载活动。它根据自带的病毒下载列表,从木马种植者指定的多个远程服务器下载海量其它病毒文件,随着进入电脑的木马越来越多,系统资源会被病毒严重占用,直至瘫痪。除进行下载外,此病毒还在各磁盘分区中生成隐藏的AUTO病毒,分别是ntldr.exe病毒文件和autorun.inf辅助文件。被AUTO病毒占领的分区,通过左键双击已无法打开,并且只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会将其传染,扩大自己的传染范围。
预防和清除:
最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。
病毒名称:“安全破坏下载者90112”(Win32.Toj.MacDog.aa)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 修改系统注册表实现开机自启动
2. 关闭常见的杀毒软件
3. 从木马种植者指定的网址下载病毒
感染形式:
这是一个木马下载者。该病毒运行后,会在当前系统的启动文件夹中释放病毒,建立系统服务,劫持常见的安全软件,然后从网上下载病毒到用户系统中运行。病毒进入系统后,会将病毒文件_uninsep.bat和1.exe释放到系统盘的根目录下,同时在系统盘的“%Documents and Settings%\All Users\「开始」菜单\程序\启动\”文件夹下生成病毒主文件的副本AtiSrv.exe。它还修改系统注册表,创建名为“Sc Manager”的系统服务,实现开机自启动。接着,病毒迅速查找用户电脑中是否安装得有安全软件,并对它们进行映像劫持。在病毒的劫持列表中有金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等大部分常见安全软件,一旦被劫持,这些安全软件就无法运行了。最后,病毒在用户无法察觉的情况下建立远程连接,从木马种植者指定的网址http://iii.u*6*u.com和http://tttt.5**jx.com下载病毒列表,然后根据下载列表中的地址去下载更多的病毒文件到用户系统中运行,给用户的系统安全造成无法估计的威胁。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒名称:“敏感资料盗窃者202792”(Win32.Troj.Hugedoor.a)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
病毒危害:
1. 在系统盘释放病毒文件
2. 修改系统注册表,将该文件的信息写入启动项
3. 记录用户使用IE浏览器
4. 记录QQ、ICQ、MSN等即时通讯工具的帐号
感染形式:
这是一个窃取信息的木马。它主要用来盗取黑客希望得到的信息。该程序会记录IE浏览器提交的所以用户名密码,以及OutLook、Foxmail等所有邮件工具的账号密码及服务器信息。同时,它还会记录QQ、ICQ、MSN的账号密码。病毒进入电脑后,释放病毒文件kernel.dll到系统盘的%WINDOWS%\system32\目录下,并修改系统注册表,将该文件的信息写入启动项,使自己能实现自启动。为迷惑用户,病毒会将该文件属性伪装成类似微软的文件,如果用户检查其属性,可看到其服务名为“WmdmPmSN”,名称为“Portable Media Serial Number Service”。如果成功运行起来,病毒就会在系统中展开全面监视程序,记录下用户使用outlook和foxmail所有发出邮件的时间、用户名、密码、邮件服务器等信息。另外,它还会记录QQ、ICQ、MSN等即时通讯工具的帐号,密码。病毒还记录用户使用IE浏览器时,输入的所有含TEXT和PASSWORD字样的内容,并将这些偷来的信息全部发送到木马种植者指定的地址。更令人发指的是,它甚至会在系统最近打开的文档中搜索doc、txt、pdf等格式的文件,将它们也上传给木马种植者。
预防和清除:
由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。