6月第3周计算机病毒预报
来源:中国上海 更新时间:2008-06-18

 
 
    病毒名称:“网游盗号木马”(Win32.Troj.PatchMainT.ty.90412)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 在系统盘下释放病毒文件
    2. 写入系统注册表实现开机自启动
    3. 搜寻相关游戏的进程,读取其游戏内存中的数据
    4. 盗取帐号和密码信息
    感染形式:
    这是一个网游盗号木马。它会盗窃网络游戏《魔兽世界》和“游戏茶苑大厅”的帐号密码,然后发送到病毒作者指定的接收网址。该病毒进入用户电脑后,释放出两个病毒文件,分别为%WINDOWS%目录下的issms32.exe和%WINDOWS%\system32\目录下的issms32.dll,其中前者是病毒主文件,它会被写入系统注册表,令病毒实现开机自启动。而那个DLL文件则用于执行盗号工作。当病毒顺利的运行起来,它就将issms32.dll 注入 系统桌面的进程explorer.exe 中,搜寻《魔兽世界》和“游戏茶苑大厅”的进程,读取其游戏内存中的数据,从而盗取帐号和密码信息,并将它们发送到病毒作者指定的远程地址。给游戏玩家造成虚拟财产的损失。
    预防和清除:
    最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称:“毒蛆”(Win32.Troj.Zbot.54784)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 在系统盘目录下释放出病毒文件
    2. 修改注册表,破坏系统中已安装了的防火墙程序
    3. 破坏用户计算机系统内的应用程序、数据库、压缩文件、图片、文档等文件
    4. 修改IE浏览器的数据弹出大量的广告网页
    感染形式:
    这是一个木马风险程序。它会破坏防火墙,窃取用户电脑中的敏感信息并发送给病毒作者,另外,它还会破坏用户计算机系统内的一些应用程序、数据库、压缩文件、图片、文档等,并弹出大量广告网页。病毒首先释放出自己的病毒文件。它的文件有两个,分别是%WINDOWS%\System32\目录下的ntos.exe和%WINDOWS\system32\wsnpoem\目录下的audio.dll。并将它们写入系统注册表,实现开机自启动。当成功运行起来,病毒就会注入到除CSRSS.EXE外的所有进程中运行,这样做是为了保护自己的病毒进程不被删除。同时,它修改注册表,破坏系统中已安装了的防火墙程序,以便自己能任意连接外部网络。在这个过程中,目前市面上常见的几款防火墙都会被破坏。接着,病毒就在被感染的计算机上搜索各种看上去像帐号和密码的信息,以及电脑名称、用户的真实IP地址等信息,把它们全部发送给病毒作者。这些信息一旦到了病毒作者的手中,就会被用于更多的非法用途。另外,此病毒还具有随机破坏用户计算机系统内的应用程序、数据库、压缩文件、图片、文档等文件的功能。一旦它执行了破坏命令,用户就将遭遇无法估计的损失。在发作的最后,它还会修改IE浏览器的数据,使得IE弹出大量的广告网页。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。


    病毒名称:“千足虫变种”(Win32.Kdcyy.cp)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害:
    1. 在被感染计算机系统下释放病毒组件文件
    2. 关闭大部分杀毒软件和安全工具软件
    3. 修改注册表,实现开启自动播放的功能
    4. 使用户无法进入“安全模式”、无法查看隐藏的系统文件
    感染形式:
    该病毒采用VC++ 6.0编写, 并经过加壳保护处理。病毒运行后,会在被感染计算机系统的“%SystemRoot%\system32\com\”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”,还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件文件“dnsq.dll”。利用驱动程序来恢复SSDT Hook,使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件。被感染计算机系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染),感染后的程序变为16位的图标,图标变模糊,类似于马赛克。一旦发现与安全相关的窗口存在,强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体,并且对这些文件进行实时检测保护,利用移动设备进行传播。破坏注册表,致使用户无法进入“安全模式”、无法查看隐藏的系统文件,致使注册表启动项失效。修改注册表,实现开启自动播放的功能。强行删除所有安全软件的关联注册表项,使其无法开启监控。利用进程守护技术,将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联,实现进程守护,一旦病毒文件被删除或被关闭,便马上生成并重新运行。以系统级权限运行,部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了重启移动文件的技术,在重新启动计算机时会把病毒主程序体移动存在到系统[启动]文件夹中,实现开机自启动。病毒会在被感染计算机系统的后台访问骇客指定的广告站点,进行提升访问量,刷网络排名等操作。另外,病毒还可以自升级。
    预防和清除:
    养成良好的上网习惯比如不要随便接收别人发给的文件。建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。