1月第1周计算机病毒预报
来源:中国上海 更新时间:2009-01-04


 
    病毒名称:“劫持者下载器”(Win32.Troj.GuiseAV.rs)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 在系统目录下释放出病毒文件
    2. 劫持安全软件,使其失效 
    3. 下载大量的木马程序
    4. 对中毒电脑系统进行破坏
    感染形式:
    该病毒是个木马下载器。它通过还原系统的ssdt表来解除部分杀软的“主动防御”,然后劫持安全软件,使其失效。最后下载大量的木马程序。该毒进入系统后,在%WINDOWS%\system32\drivers\目录下释放出随机命名的子文件。然后搜寻并尝试结束DrvAnti.Exe(驱动防火墙的进程)。接着,它创建服务启动,来还原系统SSDT表,这样可以使一些所谓具有“主动防御”功能的杀软失效。接着,它枚举系统中的进程,劫持电脑中已安装的杀毒软件。该毒的劫持名单非常庞大,几乎所有知名的杀软都是它的目标。当解除了电脑的防护,该毒读取自己配置文件中的地址信息,从指定的远程地址下载一份最新的病毒列表,根据其中的地址,下载更多的木马文件到用户电脑中运行,引发更多无法估计的破坏。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。


    病毒名称:“黑客控制下载器”(Win32.Hack.PcClientT.bv)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    5. 在系统盘根目录下释放出病毒文件
    6. 停止杀毒软件进程 
    7. 修改注册表实现开机启动
    8. 连接病毒作者指定的远程地址,等待黑客控制
    感染形式:
    该毒在系统盘的%WINDOWS%\TEMP\目录下释放出文件SH8909.Tmp,这是它的主文件。会被写入注册表启动项,使病毒实现开机自启动。此外,该毒释放出的还有一个Beep.Sys文件,病毒会用它替换掉%WINDOWS%\SYSTEM32\drivers\目录下的同名文件。而该文件的作用是在系统异常时发出警报音。当完成以上步骤,此木马就读取自带的远程服务器地址http://www.Zh***ou8.com/w***oot/,利用IE在后台悄悄连接,等待黑客指令。它的一些变种拥有下载器功能,会从该网址下载一份病毒列表,再根据其中的地址下载更多其它病毒。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。


    病毒名称:“毒蛆”(Win32.Troj.Zbot.)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    9. 在系统盘目录下释放出病毒文件
    10. 修改注册表,破坏系统中已安装了的防火墙程序
    11. 破坏用户计算机系统内的应用程序、数据库、压缩文件、图片、文档等文件
    12. 修改IE浏览器的数据弹出大量的广告网页
    感染形式:
    这是一个木马风险程序。它会破坏防火墙,窃取用户电脑中的敏感信息并发送给病毒作者,另外,它还会破坏用户计算机系统内的一些应用程序、数据库、压缩文件、图片、文档等,并弹出大量广告网页。病毒首先释放出自己的病毒文件。它的文件有两个,分别是%WINDOWS%\System32\目录下的ntos.exe和%WINDOWS\system32\wsnpoem\目录下的audio.dll。并将它们写入系统注册表,实现开机自启动。当成功运行起来,病毒就会注入到除CSRSS.EXE外的所有进程中运行,这样做是为了保护自己的病毒进程不被删除。同时,它修改注册表,破坏系统中已安装了的防火墙程序,以便自己能任意连接外部网络。在这个过程中,目前市面上常见的几款防火墙都会被破坏。接着,病毒就在被感染的计算机上搜索各种看上去像帐号和密码的信息,以及电脑名称、用户的真实IP地址等信息,把它们全部发送给病毒作者。这些信息一旦到了病毒作者的手中,就会被用于更多的非法用途。另外,此病毒还具有随机破坏用户计算机系统内的应用程序、数据库、压缩文件、图片、文档等文件的功能。一旦它执行了破坏命令,用户就将遭遇无法估计的损失。在发作的最后,它还会修改IE浏览器的数据,使得IE弹出大量的广告网页。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。