江民科技恭祝各位节日愉快!节假日期间上网更需谨慎,只有提高防范意识、养成良好的安全习惯才能避免遭受病毒的侵害。请阅读并做到安全贴士中的建议,让信息安全如影随形:
*将系统中安装的应用软件升级到最新版本,其中包括各种即时通讯工具、播放器、软件开发工具、文字处理及阅读软件等等,避免骇客或病毒利用软件中存在的漏洞入侵用户系统。
**选择具备“网页防马墙”功能的杀毒软件(如KV2009),并开启“自动升级”功能,上网时开启杀毒软件的各项监控。
江民今日提醒您注意:在今天的病毒中Worm/AutoRun.kxl“U盘寄生虫”变种kxl和TrojanDownloader.Small.anmj“小不点”变种anmj值得关注。
英文名称:Worm/AutoRun.kxl
中文名称:“U盘寄生虫”变种kxl
病毒长度:80896字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:fa704d814677804949ba58084f41a544
特征描述:
Worm/AutoRun.kxl“U盘寄生虫”变种kxl是“U盘寄生虫”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“U盘寄生虫”变种kxl运行后,会在被感染计算机系统的“%SystemRoot%”目录下释放恶意程序“extext*t.exe”(*为8位随机数字)、恶意DLL组件“ee*t.dll”,在“%SystemRoot%system32drivers”目录下释放恶意驱动程序“pcidump.sys”和“AsyncMac.sys”,然后“U盘寄生虫”变种kxl会自我复制到“%SystemRoot%system32”文件夹下,重新命名为“scvhost.exe”。之后其会删除原病毒文件,以此消除痕迹。“U盘寄生虫”变种kxl会通过其释放的驱动程序将“explorer.exe”文件替换为恶意文件“extext*t.exe”,并将原“explorer.exe”文件转移到“%SystemRoot%temp”文件夹下,不仅实现了恶意程序的开机自启,同时提高了自身的隐蔽性。“U盘寄生虫”变种kxl运行时,会关闭“Windows安全中心”、“Windows防火墙”服务,并利用其释放的恶意驱动程序“AsyncMac.sys”或“aec.SYS”关闭安全软件的自我保护功能。终止大量的安全软件、系统工具、应用程序的进程,同时关闭并禁用相关的系统服务,甚至删除其文件。关闭标题中带有指定关键字的窗口,致使用户的计算机失去保护。修改“hosts”文件,通过域名映像劫持功能屏蔽大量的站点,致使用户无法通过网络获取病毒的查杀信息。在被感染系统的后台连接骇客指定的远程服务器“http://new.duo*wow.cn/”,获取恶意程序下载列表“xia.txt”,然后在被感染计算机上下载指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序等,致使用户面临更多的威胁。“U盘寄生虫”变种kxl还会连接指定的页面反馈被感染计算机的基本信息。“U盘寄生虫”变种kxl可通过移动存储设备进行自我传播,其会监视被感染系统中新插入的移动存储设备,如发现有新的移动存储设备接入时,便会在其根文件夹下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“[盘符:]recycle.{645FF040-5081-101B-9F08-00AA002F954E}kav32.exe”,文件及文件夹属性皆设置为“系统、隐藏、只读”,以此实现双击盘符后激活木马的目的。另外,“U盘寄生虫”变种kxl会通过在被感染系统注册表启动项中添加键值“360Soft”的方式实现开机自动运行。
英文名称:TrojanDownloader.Small.anmj
中文名称:“小不点”变种anmj
病毒长度:23552字节
病毒类型:木马下载器
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:19a99eaba76f01be7e2b17a4c9cb5efa
特征描述:
TrojanDownloader.Small.anmj“小不点”变种anmj是“小不点”木马下载器家族中的最新成员之一。“小不点”变种anmj运行后,会监视当前系统中是否存在“qq.exe”和“cmd.exe”两个进程,一旦出现就立即将其关闭。在被感染系统的后台连接骇客指定的远程服务器站点“http://txt.uu*ns.com/”,读取恶意程序列表“xx.txt”,下载恶意程序并自动调用运行。另外还会前往指定URL“http://d.nk*xs.com/xx.exe”下载恶意程序。其中,所下载的恶意程序可能为盗号木马、远程控制木马或恶意广告程序等,致使用户面临更多的威胁。另外“小不点”变种anmj还会从指定的地址下载文件并替换“hosts”文件,以此实现了域名劫持。另外,“小不点”变种anmj还会向指定的页面“http://www1.fdc*888.cn/w1/getmac.asp”反馈用户的网卡地址信息。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描,有效清除“壳病毒”。
4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。
5、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。
6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
7、江民杀毒软件新增强大的启发式扫描,能够启发扫描90%以上的未知病毒。
8、尽量不要以双击盘符的方式访问硬盘或移动存储设备的分区,而是通过资源管理器中左侧的“树形目录”或在地址栏中输入盘符的方式进行访问,从而避免计算机病毒利用系统自动运行特性进行感染和传播。
9、江民针对感染Delphi编译环境和应用程序的“Delphi侵蚀者”病毒推出了专杀工具,请广大Delphi开发人员和网民立即下载并对系统进行扫描,从而避免成为病毒传播的源头以及被该病毒所感染。下载地址:http://filedown.jiangmin.com/download/JMInducKiller.exe
10、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/
网友评论