7月第1周计算机病毒预报
来源:中国上海 更新时间:2008-06-30

   病毒名称:“木马下载器”(Trojan-Downloader.Win32.Delf)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 病毒注入IE进程从网络上下载许多盗号木马,严重威胁用户的账号安全
    2. 修改注册表,达到禁用系统自动升级、隐藏文件的目的
    3. 病毒自身代码有错误导致系统运行变慢
    感染形式:
    该病毒首先在系统的temp文件夹下生成A2-tmp.exe文件,然后病毒在C:盘生成smp.bat文件,用来执行C:\DOCUME~1
\ADMINI~1\LOCALS~1\Temp\A2-tmpaASI.exe执行A2-tmp.exe
之后,病毒以‘http://csoftddl.com/Drv32.data’为参数,连接此网站,并下载病毒。 但由于网站已关,不能下载文件。该病毒对用户有一定的危害。
    预防和清除:
   最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称:“黑客学徒”(WIN32.Vking.cc.291840)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 通过感染exe格式文件来进行传播
    2. 添加到注册表的启动项中,实现开机自启动
    3. 关闭许多常见安全软件的进程
    4. 连接病毒作者指定的远程地址
    感染形式:
    这是一个黑客木马程序的变种,病毒运行时将自身文件suchost.exe拷贝至%WINDOWS%\SYSTEM32\Drivers\目录下,通过修改注册表中的相关数据,将其设置为隐藏文件,避免被用户发现。同时,把它添加到注册表的启动项中,实现开机自启动。病毒接下来会启动感染线程。感染时,它将正常文件附加在自己文件的末尾,这样当用户运行正常文件时,它就能抢先运行起来,然后再释放出原始文件并执行。因为这个过程只不过是一瞬间的事,用户不会察觉。不过,有一个特征值得留意,就是该毒会在它到过的每个文件夹内创建文件Desktop_.ini,内容为当天日期。完成以上工作,病毒就会尝试删除卡巴斯基、麦咖啡、赛门铁克、金山毒霸、NOD32、SSM、SREng、Network Associates、冰刃等安全软件服务进程。当失去安全软件的监控,病毒就可以自由地连接病毒作者指定的远程地址http://www.d_**g**.com/ ,下载最新的更新文件,并等待病毒作者(黑客)的指令,帮助黑客控制中毒电脑。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    病毒名称:“盗号记录器”(Win32.Troj.OnlineGameT.uv.91648)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害:
    1. 在系统盘目录下释放出病毒
    2. 写入系统注册表启动项,实现开机自启动
    3. 连接作者指定的远程地址
    4. 下载其它病毒文件
    感染形式:
    这个病毒最近出现较多变种,且作案频率上升较快。该毒进入系统后,会在系统盘%WINDOWS%\SYSTEM32\目录下释放出病毒文件olemdb32.dl_、olemdb32.dll、zyzxjime.dll。其中zyzxjime.dll其实是病毒主文件,它稍后就会被写入系统注册表启动项,帮助整个病毒实现开机自启动。病毒文件一被释放出来,就遍历全部磁盘,搜索电脑是否安装有常见的安全软件,如有则将它们关闭。接着便建立全盘监视,记录用户通过鼠标、键盘输入的各种看上去像帐号和密码的数据。接着,病毒悄悄连接作者指定的远程地址http://d*3.t***kl.info/,上传记录到的信息。同时下载其它病毒文件。该病毒变种增加速度极快,很明显,病毒作者使用了批量生成工具。

    预防和清除:
    养成良好的上网习惯比如不要随便接收别人发给的文件。建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。