7月第3周计算机病毒预报
来源:中国上海 更新时间:2008-07-12

 
 
 
    病毒名称:“PE感染控制器”(PE.parite.d.1436)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 搜索所有的exe文件进行感染
    2. 躲避杀软查杀
    3. 释放出另一个木马文件
    4. 造成用户电脑被黑客控制
    感染形式:
    这是一个由高级语言编写的感染型病毒。它利用感染正常的exe文件来实现传播,如成功运行,则会释放出另一个木马文件。该病毒只要进入未被它入侵过的电脑中,就会搜索所有的exe文件,对它们进行感染。它在被感染文件最后节后添加新节,修改被感染文件入口点至新节开始。这样,当用户运行正常文件时,它就能抢先运行起来。病毒首先会解密病毒代码,它对自己的部分代码使用了变形技术,这部分代码在每次感染时会变换代码形式,看得出,它试图躲避杀软查杀。该病毒运行起来后,会释放出另一个病毒Win32.Parite.c.471040。这个病毒是个远程木马程序,它会注入系统桌面进程explorer.exe执行自己的病毒代码,达到隐蔽运行的效果。如果Win32.Parite.c.471040成功运行,就可能造成用户电脑被黑客控制。
    预防和清除:
   最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称:“鸽子下载器”(Win32.Hack.Huigezi.363520)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 在所有的磁盘分区下生成文件
    2. 强行关闭安全软件
    3. 连接到指定的远程地址
    4. 对用户的商业机密和个人隐私构成威胁
    感染形式:
    这个是一个蠕虫型下载器。它采用了类似灰鸽子的部分代码,会通过局域网和AUTO技术进行传播,下载其它病毒程序到中毒电脑中运行。这个下载器病毒具有很强的感染性。每当它进入到一个新的电脑中,就会在所有的磁盘分区下生成文件setup.exe与AutoRun.inf,只要用户双击进入含毒分区,病毒就会被运行起来,搜索是否有U盘等移动存储设备,将其感染,以便能传染到别的电脑上,由于这两个文件都被设置为隐藏模式,用户不容易发现它们。同时,该病毒还会利用感染exe文件来进行传染。它的对抗能力也较强。进入系统后,该病毒会通过搜索窗口关键字的方式,判断用户系统中是否安装得有安全软件,如有,则将其强行关闭。由于病毒自带的关键词库较大,已知的大部分安全软件都是它的目袭击标。当该病毒在用户电脑里顺利运行起来,它便悄悄连接到指定的远程地址,每隔20分钟下载一次其它病毒运行,这些病毒文件都是网游或网银盗号木马,由于其中一些具有全局键盘记录功能,还有可能对用户的商业机密和个人隐私构成威胁。此外,该病毒针对企业、网吧等局域网用户设置有ARP攻击功能。它每隔半小时就搜索一次局域网内的电脑IP,向整个网络发起攻击,严重影响网速。并尝试破解其它电脑的口令,好将自己传染到这些电脑上。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    病毒名称:“候补肉鸡”(Win32.Hack.MaskPET.a.36864)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, UNIX, Linux
    病毒危害:
    1. 在磁盘中释放完文件
    2. 连接到特定的黑客服务器
    3. 等待黑客的命令
    4. 下载更多的木马到用户电脑中运行
    感染形式:
    这是一个黑客程序。它在磁盘中释放完文件后,会连接到特定的黑客服务器,等待黑客的命令。此毒是一个远程黑客程序。它进入用户系统后,就在%WINDOWS%\SYSTEM32\目录下释放出自己的文件TxoMoU.Exe和Autorun.Inf。既然出现了Autorun.Inf,那就表明,这个病毒是可以利用AUTO技术来自动传播的。病毒运行起来后,会立刻建立一个blabla.dat文件,将自己的原始文件删除,减少被用户发现的机会。接着,它在后台调用IE浏览器,悄悄连接病毒作者指定的远程服务器http://www.t***o.cn/tj.asp。连接成功后,病毒并不会立刻变得具有攻击型。它会等待病毒作者(黑客)的新指令。该毒还具有防止重复运行功能,它成功运行后,会在中毒电脑中建立一个互斥体,避免自己的其它副本重复感染此台电脑,防止重复运行造成系统崩溃。同时,病毒利用之前释放出的Autorun.Inf文件与一个soS.Exe,随时搜索接上中毒电脑的U盘等移动存储器,将它们感染,实现自动传播,以扩大感染范围。
    预防和清除:
    养成良好的上网习惯比如不要随便接收别人发给的文件。建议电脑用户不要随便运行来历不明的文件,以免中毒受害。平时上网的时候一定要打开防病毒软件的实时监控功能。