8月第1周计算机病毒预报
来源:中国上海 更新时间:2008-08-05

 
 
 
    病毒名称:“精确制导监视器”(Win32.Troj.Agent.km)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 连接到特定的黑客服务器
    2. 感染系统程序
    3. 造成用户电脑被黑客控制
    4. 修好注册表并实现自动启动
    感染形式:
    这个木马没有固定的文件名,它进入系统后,就把自己复制到%WINDOWS%\system32\目录下,名字随机生成,并删除原始文件。然后就修改注册表,将自己设置为开机自启动。病毒运行起来后,会注入桌面进程explorer.exe,隐蔽运行,并连接病毒作者指定的地址6*.2*.1*8.221,下载最新版本的自己,实现更新,然后就开始作案。它对用户最大的威胁,在于它能够读取IE的缓存,记录用户的网页浏览记录,以及用户使用msn、google、yahoo、aol、icq等搜索引擎时所输入的关键词记录。同时,它还会检查用户使用的浏览器是哪种。毒霸反病毒工程师猜测,当这些数据被发送到病毒作者手中,可能会被用于统计用户的上网习惯,以帮助病毒作者有针对性的开发广告木马。另外,此木马有个特点,就是病毒作者能够给它指定发作地区。它检查系统中Control Panel\International的键值iCountry、Nation,判断当前电脑的所在国家,如果发现是病毒作者指定的国家,就立即运行,如果不是,则沉默等待。
    预防和清除:
   最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称:“武装AUTO下载器”(Win32.Troj.AutoRunsT.m)危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 实现开机自动运行
    2. 修改系统进程和系统文件 
    3. 修改屏幕保护程序
    4. 连接到特定的黑客服务器
    感染形式:
    此下载器有较强的感染能力,它利用感染硬盘中的网页传播,包括.do 、.shtml 、.asp、 .aspx 、.php  .xml等格式在内的网页文件全部都会被感染。需要注意的是,这种感染并不是直接将病毒代码加入网页文件中,而是在其中写入一段由病毒作者指定的挂马网址,当用户启动这些文件时,就会被自动引导到挂马网页,从而感染完整的下载器。调用系统中关于校验和监视系统文件变更的sfc.dll模块,修改它的数据,解除系统自身的监视与还原功能。然后连接病毒作者指定的地址http://w.XXXXX.cn,下载一份名为config.txt的病毒列表到%WINDOWS%\system32\。然后根据其中的地址去下载大量木马程序。此外,为提高传播效率,该下载器会在各磁盘分区中建立AUTO文件。针对一些用户已经自己在移动存储器中建立AUTO文件,试图阻止病毒感染这一行为,这个病毒有它的一套应对措施:它会先删除各磁盘分区下已有的autorun.inf文件,然后再创建autorun.inf和病毒自身母体MSDOS.bat。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。


    病毒名称:“机器狗变种”(Win32.Troj.DownLoaderT.mr)
    危害程度:中低
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 释放文件、并修改系统注册表实现自动运行
    2. 采取后台监视功能
    3. 盗取用户游戏帐号,密码
    4. 连接到特定的黑客服务器
    感染形式:
    此下载器的原始文件进入系统后,释放出病毒文件ctfmon.exe到系统盘%WINDOWS%\目录下,另外两个文件Upack.exe和ctfmon.exe会被释放到系统盘根目录下。然后,它判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE(贝壳磁盘保护)2个进程,如不存在,就写驱动穿还原系统。然后,病毒把系统桌面进程explorer.exe复制到系统盘根目录中,命名为tempdat.dat,再将自己的数据写入原来的explorer.exe中,这样,它就可以随着桌面的启动而自动运行起来。当成功运行起来,此毒便连接指定的远程地址,下载一份病毒列表,根据其中的地址,下载更多其它木马到%WINDOWS%\system32\目录下运行,下载一个运行一个。这就造成系统资源逐渐被吞噬,电脑运行越来越慢。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。