3月第3周计算机病毒预报
来源:中国上海 更新时间:2009-03-16

 
 
    病毒名称:“盗号猪”(win32.troj.encodexor.a)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 劫持系统中的安全软件
    2. 病毒注入系统
    3. 盗取玩家输入的帐号密码
    感染形式:
    这是一个具有对抗功能的盗号木马。它可以利用U盘进行传播,进入系统后尝试映像劫持系统中的安全软件,如果成功,就执行盗号任务,窃取多款网游和即时聊天工具的帐号。这个盗号木马有着比较简单的对抗功能,它进入系统后,会尝试对已安装的安全软件进行映像劫持,迫使这些安全软件失效。不过由于在穿透主防方面做得很差,很容易就会失败。但是成功解决了安全软件,它就会根据自带的一份名单,搜索系统中是否安装有一些热门网游,如果发现就注入其中,伺机盗取玩家输入的帐号密码。
    由于此毒同时具有AUTO功能和脚本木马的帮助下载,防御此毒就必须关闭U盘自动播放功能,并打齐系统安全补丁。
    预防和清除:
    建议电脑用户采取以下措施预防该病毒:安装安全软件并及时升级, 做好“漏洞扫描与修复”,打好补丁,弥补系统漏洞;不浏览不良网站,不随意下载安装可疑插件;不接收QQ、MSN、Email等传来的可疑文件;上网时打开杀毒软件实时监控功能。

    病毒名称:“下载器蠕虫变种”(Worm.Win32.DownLoader.ob)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 修改注册表启动项实现开机自动启动
    2. 释放驱动恢复系统的SSDT表 
    3. 破坏安全软件
    4. 从黑客指定网站下载大量木马病毒
    感染形式:
    这是蠕虫病毒,通过网络传播。该病毒运行后,可以破坏一些软件还原系统,使得在系统还原后,病毒仍然存在。病毒通过释放驱动恢复系统的SSDT表,破坏安全软件,以保证不被其查杀。在各个盘符生成AutoRun.inf和SafeSys.exe,以达到双击盘符运行病毒。修改注册表启动项实现开机自动启动,最后会从黑客指定网站下载大量木马病毒。电脑容易反复感染,彻底清除难度大。该病毒十分顽固,系统还原后仍存在,病毒会关闭杀毒软件,链接一个网站下载大量木马,导致清除病毒困难。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    病毒名称:“锁魔变种bb”(Adware.MsLock.bb)
    危害程度:中
    受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
    未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
    病毒危害:
    1. 释放随机文件名的恶意文件
    2. 注册系统服务
    3. 连接骇客指定的远程服务器站点
    4. 下载大量的恶意程序并运行
    感染形式:
    这是一个广告程序。采用“Microsoft Visual C++ 6.0”编写。病毒运行后,会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放随机文件名的恶意文件,同时还会将这些恶意文件重新命名并复制到“%SystemRoot%\”和“C:\Downloaded Program Files”目录中。病毒运行时,会在被感染计算机系统的后台连接骇客指定的远程服务器站点“888.843c**l.cn”,读取配置文件“../minidll.txt”,下载大量的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的损失。同时,该病毒具有自动更新功能,会根据骇客指定站点上的配置文件对所有恶意组件进行自升级,从而达到了逃避杀软查杀、提高自身生存几率的目的。另外,病毒会通过在被感染计算机系统中注册名为“Invoke ClassInternet Extensions for Win32”的浏览器辅助对象(BHO)、注册系统服务、新建任务计划和添加注册表启动项等多种方式实现木马的开机自启。
    预防和清除:
    建立用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。