10月第2周计算机病毒预报
来源:中国上海 更新时间:2008-10-06

 
 
    病毒名称:“键盘记录员”(Win32.PSWTroj.QQPass.fj.223232)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 修改注册表启动项,实现开机自启动
    2. 释放至系统目录中
    3. 建立键盘钩子,监视用户用键盘输入
    4. 黑客控制用户电脑记录
    感染形式:
    此病毒为一个功能简单的键盘记录器,属于盗号木马的范畴。它进入电脑后就修改注册表启动项,实现开机自启动,并于电脑再次启动后执行记录行为。记录器的文件zoekk.dll在病毒母体进入电脑后,就会被释放至%WINDOWS%\system32\目录中。当成功运行起来,它会被注入到系统桌面进程中,实现隐蔽运行,然后建立键盘钩子,监视用户用键盘输入的各种数据。每次记录完毕,该毒就悄悄连接网络,以邮件发送的形式将赃物发到病毒作者指定的邮箱。通过特定的方法,病毒作者就能还原出记录中类似帐号和密码的数据。
    预防和清除:
   最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称:“传奇武装盗号器”(Win32.Troj.OnlineGames.cq.69632)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 添加到注册表启动项,实现开机自运行 
    2. 查找《传奇》的进程,远程注入
    3. 病毒自动将密码发到由病毒作者指定的邮箱
    4. 破坏了安全软件的正常运行
    感染形式:
    被此毒入侵的电脑,用户可在%WINDOWS%\system32\dllcache\目录下发现一个cdaudio.sys文件,看上去像个cd音频驱动文件,其实这个是病毒经过伪装的驱动文件。病毒第一次运行时,临时释放的用来恢复SSDT表、对抗杀毒软件的。如果用户重新启动电脑,病毒会删除掉整个%WINDOWS%\LastGood文件夹,然后将该驱动更名为msIffei.sys,释放到到%WINDOWS%\system32\Drivers\目录下,再次恢复SSDT表。同时,该毒将位于%WINDOWS%\system32\目录下的的主文件kub12.exe添加到注册表启动项,实现开机自运行。成功启动后,,检查当前进程名,如果找《传奇》的进程找到就远程注入,加载同一目录下的kub12.dl文件,读取游戏内存中的帐号和密码信息。当盗取成功之后,病毒自动将密码发到 game.Wh****0314.com/quake/这个由病毒作者指定的邮箱,令用户遭受虚拟财产的损失。同时,由于它还原SSDT表,破坏了安全软件的正常运行,这就为其它病毒的入侵提供了便利。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    病毒名称:“灰鸽子变种”(Backdoor.Win32.Gpigeon2008.ee)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 自身拷贝到系统目录下
    2. 将病毒自身插入IE进程中
    3. 用户计算机将被远程控制
    4. 下载各种恶性木马
    感染形式:
    该病毒通过网络传播,病毒会偷窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。本周属于黄金周长假,各种恶性木马可能随之泛滥。该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等,给用户的计算机和隐私安全带来很大隐患。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。