关注恶意软件:
恶意软件名称:“僵尸傀儡”木马(Trojan.Win32.Agent2.kte)
恶意软件类型:木马
长度:180224字节
加壳方式:未加壳
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
“僵尸傀儡”木马具体表现:
该木马一般通过网页挂马或者被下载器下载的方式感染用户计算机。感染后,它会在计算机磁盘上创建以下文件:
%ALLUSERSPROFILE%\desktop.ini
%system32%\ipcmd.dll
%system32%\sysdiag.dll
同时创建下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs "sysdiag.dll"
其中创建的desktop.ini文件为配置文件,将记录所有此木马所需要调用的文件。注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs "sysdiag.dll",使得系统启动时会将sysdiag.dll注入到所有进程中。sysdiag.dll运行后会调用ipcmd.dll中导出的LetsWork函数连接远程计算机server7.ss2.name (ip地址 91.207.5.130),此时计算机可受远程计算机控制,成为僵尸网络中的一台傀儡计算机。
目前远程计算机会指示被感染计算机下载dxvars.dll至system32目录下并执行其中导出的mod_start函数来发送垃圾邮件。根据远程计算机指示所下载运行相应的DLL,被感染的计算机还有可能会被用来实现DDOS攻击、提高某一网站流量、弹出广告窗口等其他目的。
卡巴斯基已经可以查杀“僵尸傀儡”木马,建议您尽快安装卡巴斯基安全软件并将病毒库升级到最新,以免感染给您造成不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论