病毒名称:“超级AV终结者”( Win32.TrojDownloader.NsPassT.bm)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 释放病毒,对抗安全软件
2. 利用MS08067漏洞在局域网内传播
3. 劫持用户所浏览网页上的链接
4. 下载一些恶意程序和大量其它木马
感染形式:
该下载器结合了AV终结者、机器狗、扫荡波、autorun病毒的众多特点,行为及其恶劣。它主要是利用MS08067漏洞在局域网内传播,对抗安全软件,下载大量的木马。由于带有穿透功能,对网吧和局域网用户影响很大。此病毒在进入系统后,不会立即运行,在进入系统后,首先会恢复系统SSDT表,一旦SSDT表被恢复,就意味着该毒可以穿透任何一款系统还原软件的防线。同时,它按照自带的一份“黑名单”搜索安全软件,只要发现用户安装得有安全软件,就调将其关闭。病毒设置了映像劫持功能,劫持这些安全软件的进程。如果用户试图启动它们,唯一的结果就是把病毒再激活一次而已。而为阻止用户向安全软件厂商求助,病毒会屏蔽许多安全软件的官网。病毒还会读取用户MAC地址,并解密自己的配置文件,获取下载列表,下载大量的盗号木马到用户电脑中运行。该毒入侵一台电脑后,就开始对局域网内的其它电脑实施攻击。它搜索局域网中所有存在MS08067漏洞的电脑,利用漏洞将自己发送到这些电脑上。同时,对所有的电脑展开ARP攻击,劫持用户所浏览网页上的链接,如果用户点击链接,就会被引导到病毒作者安排好的广告网址,或者下载包括该毒在内的一些恶意程序。为确保攻击成功,该毒还会释放出一个扫荡波病毒,协助自己进行攻击。病毒不仅在局域网中传播,为实现更大范围的传播,该毒在执行上述破坏过程时,还会遍历驱动器,在非a:\和b:\的磁盘分区的根目录下创建AUTO文件autorun.inf和system.dll。一旦用户在中毒电脑上使用U盘等移动存储设备,病毒就会自动将其传染。当在U盘插入另一台电脑时,它又会将该电脑传染,这样就实现了自动传播。
预防和清除:
最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应及时升级修补操作系统相应的漏洞补丁和某些应用程序中相应的漏洞补丁。
病毒名称:“无量盗号器”( Win32.Hack.PcClient.al)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 关闭常见的杀毒软件
2. 对某些特定网页进行监控
3. 记录账号和密码的数据
4. 建立远程连接,盗取账号密码信息
感染形式:
该盗号木马在对抗安全软件方面做了不少工作。它一进入用户的电脑系统,就尝试通过进程快照,关闭卡巴斯基、NOD32、、金山毒霸、瑞星等常见的杀毒软件,并删除系统防火墙的相关文件,确保自己在发送赃物时不会受到阻碍。病毒对含有yahoo、google、live、comcast.net、worldofwarcraft、wow-Europe等字段的网页进行监控,只要发现用户在这些网页上输入看上去像帐号和密码的数据,就将其记录下来。而为了确保用户是用IE登录,它会搜索firefox.exe等其它浏览器,发现后就删除。同时,它利用修改进程内存的方法,让用户在使用雅虎通、MSN、《魔兽世界》等即时通讯软件和游戏时,把账号和密码自动记录一份到病毒的配置文件中。最后,该病毒建立远程连接,将偷到的数据打包加密,发往病毒作者指定的接收地址。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒名称: 异型熊猫”( win32.bmw.j)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 关闭安全软件
2. 连接远程服务器,下载大量的其它木马
3. 后台点击带病毒的特定的网址
4. 增加网站点击量
感染形式:
病毒将自己复制到%system32%\drivers\suchost.exe,每隔6秒就执行一次对抗安全软件文件的命令,对抗方式共三种:关闭它们的进程、删除其关键文件、删除其注册表启动项,“三管齐下”,确保能够对抗成功。病毒每隔一秒钟就添加一次自己的启动项,并持续破坏文件夹的显示模式,使得系统无法显示出隐藏的文件,达到隐藏自己的目的。而即便用户设法恢复了文件夹的显示模式,它还会采取给自己文件使用杀毒软件图标的办法来进行最后的欺骗。当一切准备就绪,该毒就连接远程服务器,下载大量的其它木马。同时,遍历磁盘,在各磁盘分区中生成能随着U盘自动传播的AUTO文件。病毒还会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm、html、 asp、php、jsp、aspx的文件中添加一个广告网址,用户打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的。而且该网页上挂有木马。
预防和清除:
建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。