7月第5周计算机病毒预报
来源:中国上海 更新时间:2008-07-26

 
 
 
    病毒名称:“局域网监视器”(Win32.Erone.a.)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 连接到特定的黑客服务器
    2. 感染系统程序
    3. 造成用户电脑被黑客控制
    4. 修好注册表并实现自动启动
    感染形式:
    此木马程序的感染能力较强,且具有针对局域网的感染功能。毒霸反病毒工程师认为它的目的是盗窃企业用户的商业数据,或者制造用于发起网络攻击的肉鸡。病毒进入电脑后,把自身drone.exe拷贝到系统目录%windows%\system32\中,并注册一个名为drone的服务启动项,实现开机自启动。然后,它开启一个线程,循环从C:\盘到Z:\盘查找文件,感染除windows、winnt、progam files外,所有目录中的文件,比如.exe、.ocx、.scr等格式文件。只要用户复制这些文件到别的电脑上,病毒就可以实现传播。同时,病毒程序不停的枚举局域网内的机器,利用共享文件的安全漏洞来感染它们的文件,从而实现在局域网内的传播。最后,病毒程序打开一个线程,在30467端口上监听,连接病毒作者(黑客)的服务器。黑客利用这个后门,就可以随时自由浏览用户的电脑,并任意控制系统。由于此木马是通过后台开启cmd执行命令,因此较隐蔽。
    预防和清除:
   最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称:“冒牌杀软下载器”(Win32.Troj.GuiseAV.rs)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 实现开机自动运行
    2. 修改系统进程和系统文件 
    3. 修改屏幕保护程序
    4. 对用户的商业机密和个人隐私构成威胁
    感染形式:
    这个木马下载器有诈骗嫌疑。它进入用户电脑后,会篡改用户的屏幕保护,用病毒自带的屏幕保护程序模拟系统崩溃的画面,吓唬用户下载病毒作者指定的一个所谓“杀毒软件”。病毒进入系统后,先释放ph[随机字符].bmp、lph[随机字符].exe ,和blph[随机字符].scr到%WINDOWS%\system32\目录下。然后就将自己的数据写入系统注册表,实现开机自启动。同时,病毒修改了系统屏幕保护的数据,将它自带的屏幕保护程序安排给系统。病毒的诈骗全靠这个屏保程序。它看上去就和系统崩溃、蓝屏死机时的画面一模一样,但会多出一个窗口,要求用户下载一个所谓的杀毒软件来解决此次崩溃事件。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    病毒名称:“PE网游盗号器”(PE.OnLineGames.fx)
    危害程度:中低
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 释放文件、并修改系统注册表实现自动运行
    2. 采取后台监视功能
    3. 盗取用户游戏帐号,密码
    感染形式:
    该盗号木马进入系统后,会首先取得用户级的权限,让自己能顺利执行各种操作。然后,它就创建新线程,监视系统中是否安装的有杀毒软件卡巴斯基,如有,则模拟用户鼠标点击,关闭卡巴斯基可能弹出的安全警告窗口。随后,病毒释放出自己的文件upxdnd.exe到%WINDOWS%目录下,并将其添加到注册表启动项,让自己实现开机自启动。同时,用自己的生成文件替换掉WINDOWS\system32\目录下的upxdnd.dll。当电脑再次启动时,病毒就会运行起来,注入系统桌面进程explorer.exe中,实现隐蔽运行,并不断搜索《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游,以及“浩方对战平台”和QQ聊天工具的进程,发现后,分别采取不同的办法盗取其帐号信息。如果盗窃成功,病毒就把赃物发送到病毒作者指定的地址,造成用户虚拟财产的损失。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。