警惕常见流氓木马
二、
病毒英文名:js.Downloader.is.148
病毒中文名:脚本下载器148
日均感染电脑量:336590
威胁级别:★★
入侵方式:网马下载
“脚本下载器148”(js.Downloader.is.148)的感染量进一步增长,突破了33万台次。它主要是利用系统漏洞来制造溢出事件,然后下载别的木马,它包含有多款流行漏洞的利用代码,存在这些漏洞的电脑访问了被挂有
该毒的网站,就会中招。
然后“脚本下载器148”(js.Downloader.is.148)会下载更多的其它下载器。如此循环,没多久用户电脑里就会塞满各种各样的病毒木马。
如果电脑中频繁提示出现此毒,用户可先利用清理专家的垃圾清理功能,清空一下系统缓存。如果无效,可使用免费的金山急救箱对系统进行彻底清洗。
瑞星:
瑞星:“好听音乐网”、“37度医学网”等网站被挂马
当日安全综述:
据瑞星“云安全”系统统计,12月23日,共有1,535,030人次的网民遭到网页挂马攻击,瑞星共截获了279,339个挂马网址。
当日被挂马网站Top5:
1、“好听音乐网”: www.haoting.com/htmusic/23430ht.htm,
被嵌入的恶意网址为***.org/web/4/index.html。
2、“37度医学网”:
www.37c.com.cn/community/new_doconline1/doconline0205.asp?blID=11301,
被嵌入的恶意网址为***. la/4/ec1.htm。
3、“OK访”:bbs.okfang.com/UpFile/php.asp?10992.html,
被嵌入的恶意网址为***. cn/db。
4、“武汉热线”:game.wuhan.net.cn/game/html/cheat/pcgame/20090503/27892_2.html,
被嵌入的恶意网址为***.cn/image/my/yx/data.htm?2。
5、“中国工控网”:gx.gongkong.com/caa/home/newsdetail.asp?news_id=111,
被嵌入的恶意网址为***.la/4/cqqmp.htm。
挂马网站详情请点击:http://bbs.ikaka.com/showforum.aspx?forumid=20039
当日最流行木马病毒:
Trojan.Win32.Startpage.nsi(流氓主页木马)“云安全”系统共收到37249次用户上报。病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。由于没有直接修改注册表,所以可以逃避大多数杀毒软件的监控。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。
江民:
江民今日提醒您注意:在今天的病毒中Trojan/Vilsel.axa“危鬼”变种axa和Backdoor/IRCBot.hyp“IRC波”变种hyp值得关注。
英文名称:Trojan/Vilsel.axa
中文名称:“危鬼”变种axa
病毒长度:13575字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:1f71f70789c0a09f57851f4b9f624451
特征描述:
Trojan/Vilsel.axa“危鬼”变种axa是“危鬼”家族中的最新成员之一,经过加壳保护处理。“危鬼”变种axa运行后,会自我复制到被感染系统的“%SystemRoot%system32”文件夹下,重新命名为“kb*.dll”。还会生成“wsconfig.db”保存该DLL文件名,并且在“%SystemRoot%system32drivers”文件夹下释放记录收信地址的配置文件“MSnoipds.dat”。“危鬼”变种axa会篡改系统文件“imm32.dll”,并通过正常程序对被感染的“imm32.dll”的调用实现恶意文件的运行。上述安装完成后,原病毒程序会将自我删除,以此消除痕迹。“危鬼”变种axa是一个专门盗取“地下城与勇士 Online”网络游戏会员账号的木马程序,其会插入游戏进程“dnfchina.exe”或“dnf.exe”中,利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃得的机密信息发送到骇客指定的收信页面“http://aiyo.bai*du66.cn:8881/semi-sweet/linux.asp”等上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。
英文名称:Backdoor/IRCBot.hyp
中文名称:“IRC波”变种hyp
病毒长度:130048字节
病毒类型:后门
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:2e775c7fab9899639b0a7fca1c32e082
特征描述:
Backdoor/IRCBot.hyp“IRC波”变种hyp是“IRC波”家族中的最新成员之一。“IRC波”变种hyp运行后,会自我复制到被感染系统的“%SystemRoot%system32”文件夹下,重新命名为“spupdsvc32.exe”,文件属性设置为“系统、隐藏、只读”。“IRC波”变种hyp利用IRC协议(互联网中继聊天)进行通讯,具有远程控制功能。其会与IRC服务器“doublelunch.is-a-chef.net:443”或“myvacations.sytes.net:443”建立连接,并根据服务器传送的指令,实现各种功能的控制操作,其中包括下载恶意程序、窃取FTP文件、扫描指定IP及端口、发动DDos攻击、键盘记录、屏幕截图、进程管理、文件共享、邮件传播等操作,会对用户造成严重的损害。“IRC波”变种hyp还会关闭被感染系统的错误报告服务,并在多个注册表启动项位置添加键值“Update RunOnce Service”,以此实现开机自动运行。
卡巴斯基:
卡巴斯基提醒:谨防“暴风”蠕虫的恶作剧
说到恶作剧软件,广大计算机用户似乎觉得不以为然,因为这种软件不会造成大的损失。但卡巴斯基实验室近期却截获到一种危害性很强的恶作剧软件,名为“暴风”蠕虫。这种恶意程序本身是一个加密的VBS脚本,功能十分强大。此蠕虫运行后,会感染所有分区根目录,删除免疫文件夹,并创建目录快捷方式并隐藏原目录。它还会创建autorun.inf进行交叉感染,修改注册表关闭隐藏文件显示,并修改文件类型关联程序。不仅如此,它还会自动查找和关闭计算机上的常见杀毒软件以及系统工具进程(如注册表编辑器等)。这些安全软件被关闭后,计算机就处于非常危险的状态,任何病毒的入侵都会造成非常严重的损失。此外,“暴风”蠕虫还会在系统目录下创建BFAlert.hta告知用户病毒的存在,并定时弹出和收回光驱托盘等。
目前,卡巴斯基已可以成功查杀该蠕虫,我们建议您尽快更新病毒库进行查杀以避免不必要的损失。
以上是我们给大家带来病毒播报,希望对大家有帮助。
网友评论