10月第3周计算机病毒预报
来源:中国上海 更新时间:2008-10-11

 
 
 
    病毒名称:“替身信使”(Win32.TrojDownloader.dt.368640)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 释放病毒,替换掉系统文件
    2. 连接病毒作者指定的远程网址
    3. 调用系统的下载服务来下载木马
    4. 执行木马文件,给用户带来危害
    感染形式:
    这是一个木马下载器。它会替换系统自身的服务进程,执行载任务。为防止下载行为被用户发现,它还会阻止系统发出文件被替换的警报。在WINDOWS中,有一项名MESSENGER服务的系统服务进程,它是系统用于传输客户端和服务器端之间消息的服务,进程文件为msgsvc.Dll。该服务并不常用,系统对它的默认状态为禁用。当此病毒运行后,会释放同样名为msgsvc.dll的病毒文件到%WINDOWS%\system32\目录中,替换掉系统文件。
    当替换完成,MESSENGER服务服务的状态会变为自动,从而实现病毒的开机启动。如果成功运行起来,该毒便连接病毒作者指定的远程网址www.C**ent-g*t-d**a.com,调用系统的下载服务来下载更多其它木马,并在下载完成后立即执行这些木马文件。
    预防和清除:
   最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。

    病毒名称:“间谍永动机”(Win32.TrojDownloader.Agent.192512)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 在系统目录下释放出病毒文件来执行命令 
    2. 写入注册表启动项,实现开机自动运行
    3. 读取当前的窗口以及文本
    4. 自动发送到病毒作者指定的黑客服务器上
    感染形式:
    这是一个黑客程序。它的实质是一个记录器,能够非法记录当前的窗口和文本,并发送到病毒作者指定的黑客服务器上。该毒通过自己在%windows%目录下释放出的msus.dll和update_srv.exe来执行命令,它将update_srv.exe 写入注册表启动项,实现开机自动运行。顺利运行后就加载msus.dll,执行函数,读取当前的窗口以及文本,写入到%windows%\msus.lf文件中,并且每隔30秒将信息发送到ftp.***od.Ru。如果能发送成功,该毒就删除之前的msus.lf文件,然后创建一个新的,开始下一轮的记录。由于电脑中储存大量敏感数据的原因,商业用户受该毒威胁的程度会比较大。另外此记录器的记录范围较广,用户在电脑中打开的任何窗口与输入的所有文本,都会被它记录下来。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    病毒名称:“中华吸血鬼”(Worm.Win32.CnVampire.j)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 修改注册表键值实现开机自动启动
    2. 关闭多种杀毒软件和安全工具
    3. 下载大量病毒
    4. 破坏系统文件
    感染形式:
    这是一个蠕虫病毒,该病毒通过多种传播,能够关闭多种杀毒软件和安全工具,并且会下载大量病毒,破坏系统文件,一旦感染此病毒,系统将受到严重威胁。该病毒通过U盘、局域网弱密码猜解、网页挂马等方式传播。该病毒会在%systemroot%\Tasks\中释放“安装.bat”,在系统目录下新建目录ini,并且把自己命名为“ini.exe”放到目录ini里面。然后生成一个名字为“shit.vbs”的脚本来运行“ini.exe”。遍历目录,在每一个目录下释放一个名字为“wsock32.dll”的病毒。通过修改注册表键值实现开机自动启动,为了躲避杀毒软件查杀,该病毒还会关闭破坏多种主流杀毒软件和安全工具。病毒会修改hosts文件,加入很多恶意网址。用户一旦感染此病毒,可能会给系统带来很大安全威胁。。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。