病毒名称:梅勒斯变种AAC(RootKit.Win32.Mnless.aac)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 读取系统文件,运行
2. 从指定的服务器下载最新版本的主文件
3. 执行病毒作者设计的指令
4. 帮助黑客执行非法控制
感染形式:
这是某黑客远程程序的组成模块。通常与其它盗号木马病毒结合传播。该病毒通过挂接键盘设备驱动获取用户键盘输入的信息,侵入电脑后,用户输入的密码、账号等信息都可能被该病毒窃取,记录下来后发送给病毒制造者,从而给用户带来不小的损失。它的任务是帮助黑客程序母体实现更新,以获取最新的功能与指令。这个病毒对用户系统与安全不构成直接的破坏作用。它的任务是更新自己所属木马的主文件,以便更好地执行黑客想要的远程控制任务。接着,木马的另一个模块从指定的服务器下载最新版本的主文件,由该病毒将下载到的文件设置为隐藏属性,躲避用户的检查。并执行安装。当更新完成后,木马就可以执行病毒作者设计的最新指令,帮助黑客更好地执行非法控制。
预防和清除:
最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。
病毒名称:“vbs下载器”(VBS.UCCT.ed.)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 在系统盘根目录下释放出病毒文件
2. 停止杀毒软件进程
3. 修改注册表实现开机启动
4. 连接病毒作者指定的远程地址,等待黑客控制
感染形式:
这个下载器可利用网页挂马传播,传播速度较快。并且它具有对抗杀毒软件的能力。 病毒一进入电脑,就首先修改注册表的启动项实现开机自启动,并修改超级隐藏项,达到隐藏自身的目的。如果它完成这项工作,它释放到%WINDOWS%目录和%WINDOWS%\system32\目录下的vbe文件就能实现隐身,让用户无法找到。 病毒搜索进程,试图结束杀毒软件的文件进程,保证它自身运行,但经反病毒工程师检验,该行为失败。 接着,它遍历全部磁盘分区,在它们的根目录下创建AUTO文件。这样,如果用户在中毒电脑上使用U盘等移动存储设备,病毒就能将其感染。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒名称:“对抗型问道盗号器”(Win32.Troj.KillAV.c)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 监视杀毒软件进程
2. 在系统文件目录下释放病毒
3. 修改注册表实现开机启动
4. 连接病毒作者指定的远程地址,等待黑客控制
感染形式:
这个盗号木马具有对抗杀软的能力。通过对病毒代码的分析,反病毒工程师认为病毒作者可能有借鉴AV终结者的部分对抗技术。主要做法是进入用户系统后,监视杀毒软件的行为,如果它发现自己被杀毒软件扫描到,就会尝试将杀毒软件的扫描窗口强行关闭——这其实是种水平不咋样的对抗方式。当解决掉杀毒软件后,该毒就开始盗号,它这部分的行为不复杂。首先是释放自己的dll文件到%Windows%\system32\目录下,名称采取“原始文件名+dw.Dll”的形式,例如原病毒名为张三.exe,则生成dll为“张三dw.Dll”。随后,它会检查进程,发现《问道》的进程,则结束掉,等待用户再次登录时,就趁机记录用户输入的账号和密码。此外,病毒会获取用户的游戏配置文件中的角色等级、虚拟金币、银币等信息,将它们与帐号密码一起发送到病毒作者指定的远程地址。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。