2008年4月第5周计算机病毒预报
来源:中国上海 更新时间:2012-04-13

 
 
 
    病毒名称:“AV终结者变种”(Win32.Troj.AVKiller.ex.106496)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 修改系统注册表实现自动启动
    2. 禁止用户进入安全模式和打开注册表编辑器
    3. 在每一个磁盘分区的根目录下生成病毒文件
    4. 盗取用户信息
    感染形式:
    这是一个AV终结者的最新变种。它会劫持大部分安全软件,破坏安全模式,还会释放出传染性极高的Auto病毒,借以扩大自己的传播范围。该病毒进入系统后执行的操作,与以前的版本基本无异,都是先释放出病毒文件,然后修改系统注册表实现自动启动,并紧接着执行映象劫持,将用户系统中安装的安全软件弄瘫痪,以便于病毒以后的破坏操作。病毒释放出的文件wuauc1t.exe和sssurl.dll会被伪装成系统文件,隐藏在%WINDOWS%根目录下。为防止用户进行手动查杀,病毒修改注册表中的相关数据,使中毒电脑无法显示隐藏的文件和系统文件,这样一来,当病毒把自己伪装成系统文件并设置隐藏模式后,用户就无法找到它们。同时,病毒还会禁止用户进入安全模式和打开注册表编辑器,以便长久地在电脑中驻留下去。并且,病毒会在每一个磁盘分区的根目录下生成一个explorer.exe文件和AUTORUN.INF文件,当用户在中毒电脑上使用U盘等移动存储设备时,病毒就会趁机将其感染。最后,病注入系统桌面进程和其它非系统进程中,隐蔽地运行自己,从病毒作者指定的地址下载大量盗号木马,将用户系统中有价值的信息盗窃一空,引发无法估计的损失。

    预防和清除:
   最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称:“代理蠕虫变种ZOA”(Worm.Win32.Agent. zoa)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 修改注册表启动项实现开机自启动
    2. 禁止WINDOWS自动升级
    3. 锁定用户默认浏览器主页
    4. 从网上下载新的木马病毒
    感染形式:
    这是一个蠕虫病毒。病毒运行后会把自己复制到系统目录下,并修改注册表启动项实现开机自启动。同时病毒修改注册表信息,来禁用系统任务管理器,禁止WINDOWS自动升级,将系统文件和隐藏文件设置为不可见,以及锁定用户默认浏览器主页,并且试图关闭杀毒软件和安全工具。它还会从网上下载新的木马病毒,并在可移动存储设备写入病毒,以此传播。该病毒通过U盘等可移动存储设备传播,病毒会禁用任务管理器、锁定浏览器主页和隐藏系统文件,给用户造成很大不便。
   
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。


    病毒名称:“网游内存盗号者”(Win32.PSWTroj.OnLineGames.65536)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害:
    1. 在系统盘目录下释放出病毒主文件
    2. 修改系统注册表,实现开机自启动
    3. 通过内存读取的方式获得用户的帐号密码
    4. 然后发送给病毒作者
    感染形式:
    这是一个可同时盗取多个网络游戏帐号的盗号木马。它通过修改注册表启动项实现开机自启动,作案目标是《魔兽世界》、《赤壁》和《茶苑游戏大厅》的帐号信息。该病毒通过网页挂马和下载器的帮助进入用户的电脑系统后,在系统盘%WINDOWS%目录下释放出病毒主文件mfchlp32.exe,在%WINDOWS%\system32\目录下释放出用来执行盗号的文件mfchlp32.dll,然后就修改系统注册表,把主文件的相关信息加入其中,实现开机自启动。
    如果成功开始运行,病毒就枚举系统上的进程,把mfchlp32.dll注入系统桌面explorer.exe 的进程空间,在系统上展开全局监视,搜索《魔兽世界》、《赤壁》和《茶苑游戏大厅》的进程,发现后注入其中,通过内存读取的方式获得用户的帐号密码,然后发送给病毒作者。病毒中含有一个地址http:/ /www.ck***66.com/cy876/lin111.asp?&ie=##,经毒霸反病毒工程师检查,该地址是病毒作者指定的远程服务器,当病毒盗窃成功后,就会悄悄把用户信息发送过去。
   
    预防和清除:
    养成良好的上网习惯比如不要随便接收别人发给的文件。建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。